Acerca del contenido de seguridad de Apple TV 7

En este documento, se describe el contenido de seguridad de Apple TV 7.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Apple TV 7

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: un atacante podría obtener las credenciales de la red Wi-Fi.

    Descripción: un atacante podría hacerse pasar por un punto de acceso Wi-Fi, ofrecer la autenticación con LEAP, anular el hash MS-CHAPv1 y usar las credenciales derivadas para autenticarse en el punto de acceso previsto incluso aunque este necesitara métodos de autenticación más seguros. Este problema se solucionó eliminando la compatibilidad para LEAP.

    ID CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax y Wim Lamotte de la Universiteit Hasselt

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: un atacante con acceso a un dispositivo podría acceder a la información confidencial del usuario desde los registros.

    Descripción: se registró información confidencial del usuario. Este problema se solucionó reduciendo la cantidad de información registrada.

    ID CVE

    CVE-2014-4357: Heli Myllykoski de OP-Pohjola Group

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: un atacante con una posición de red privilegiada podría hacer creer a un dispositivo iOS que se estaba actualizado aunque no fuera cierto.

    Descripción: existía un problema de validación en la administración de las respuestas de comprobación de actualizaciones. Se empleaban fechas falsas para las cabeceras de respuesta Last-Modified (Fecha de última modificación) configuradas con fechas futuras para las comprobaciones If-Modified-Since en posteriores solicitudes de actualización. Este problema se solucionó validando la cabecera Last-Modified.

    ID CVE

    CVE-2014-4383: Raul Siles de DinoSec

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: la apertura de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de desbordamiento de enteros en la administración de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT, colaborador del programa iSIGHT Partners GVP

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: la apertura de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la divulgación de información.

    Descripción: existía un problema de lectura de memoria fuera de los límites en la administración de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4378: Felipe Andrés Manzano de Binamuse VRT, colaborador del programa iSIGHT Partners GVP

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación podría ocasionar el cierre inesperado del sistema.

    Descripción: existía un problema de eliminación de referencia de puntero nulo en la administración de argumentos de la API IOAcceleratorFamily. Este problema se solucionó mejorando la validación de los argumentos de la API IOAcceleratorFamily.

    ID CVE

    CVE-2014-4369: Catherine, alias “winocm”, y Cererdlong de Alibaba Mobile Security Team

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: el dispositivo podría reiniciarse de manera inesperada.

    Descripción: existía un problema de eliminación de referencia de puntero nulo en el driver IntelAccelerator. Este problema se solucionó mejorando la administración de errores.

    ID CVE

    CVE-2014-4373: cunzhang de Adlab de Venustech

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría leer punteros del kernel, que se podrían emplear para eludir la aleatorización del espacio de direcciones del kernel.

    Descripción: existía un problema de lectura fuera de límites en la administración de una función de IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4379: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un desbordamiento del búfer de montículo en la administración de propiedades de asignación de claves por parte de IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4404: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de eliminación de referencia de puntero nulo en la administración de propiedades de asignación de claves por parte de IOHIDFamily. Este problema se solucionó mejorando la validación de las propiedades de asignación de claves de IOHIDFamily.

    ID CVE

    CVE-2014-4405: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del kernel.

    Descripción: existía un problema de escritura fuera de límites en la extensión de kernel de IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4380: cunzhang de Adlab de Venustech

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría leer datos no inicializados de la memoria del kernel.

    Descripción: existía un problema de acceso a memoria no inicializada en la administración de funciones de IOKit. El problema se solucionó mejorando la inicialización de la memoria.

    ID CVE

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de validación en la administración de determinados campos de metadatos en objetos de IODataQueue. Este problema se solucionó mejorando la validación de metadatos.

    ID CVE

    CVE-2014-4418: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de validación en la administración de determinados campos de metadatos en objetos de IODataQueue. Este problema se solucionó mejorando la validación de metadatos.

    ID CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de desbordamiento de enteros en la administración de funciones de IOKit. Este problema se solucionó mejorando la validación de los argumentos de la API IOKit.

    ID CVE

    CVE-2014-4389: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: un usuario local podría determinar el diseño de memoria del kernel.

    Descripción: existían varios problemas de memoria no inicializada en la interfaz de estadísticas de red que provocaban la divulgación de contenido de la memoria del kernel. Este problema se solucionó mediante una inicialización adicional de la memoria.

    ID CVE

    CVE-2014-4371: Fermín J. Serna del Google Security Team

    CVE-2014-4419: Fermín J. Serna del Google Security Team

    CVE-2014-4420: Fermín J. Serna del Google Security Team

    CVE-2014-4421: Fermín J. Serna del Google Security Team

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una persona con una posición de red privilegiada podría ocasionar una denegación de servicio.

    Descripción: existía un problema de condición de carrera en la administración de paquetes IPv6. Este problema se solucionó mejorando la comprobación del estado de bloqueo.

    ID CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: un usuario local podría ocasionar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel.

    Descripción: existía un problema de vulnerabilidad de “doble liberación” (“double free”) en la administración de puertos Mach. Este problema se solucionó mejorando la validación de puertos Mach.

    ID CVE

    CVE-2014-4375

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: un usuario local podría ocasionar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel.

    Descripción: existía un problema de lectura fuera de los límites en rt_setgate. Esto podría ocasionar la divulgación de memoria o errores de memoria. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4408

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: algunas medidas de refuerzo del kernel pueden eludirse.

    El generador de números aleatorios “early” usado en determinadas medidas de endurecimiento de kernel no era criptográficamente seguro y parte de su salida se exponía al espacio del usuario, lo que permitía eludir las medidas de endurecimiento. Este problema se solucionó reemplazando el generador de números aleatorios por un algoritmo criptográficamente seguro y usando un núcleo de 16 bytes.

    ID CVE

    CVE-2014-4422: Tarjei Mandt de Azimuth Security

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios de usuario root.

    Descripción: existía un problema de escritura fuera de límites en Libnotify. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4381: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: un usuario local podría modificar los permisos de archivos arbitrarios.

    Descripción: syslogd seguía enlaces simbólicos mientras cambiaba los permisos de los archivos. Este problema se solucionó mejorando la administración de enlaces simbólicos.

    ID CVE

    CVE-2014-4372: Tielei Wang y YeongJin Jang del Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Disponible para: Apple TV (3.ª generación) y posterior

    Impacto: un atacante con una posición de red privilegiada podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de errores de memoria en WebKit. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2013-6663: Atte Kettunen de OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel de Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: