Acerca del contenido de seguridad de Apple TV 7.0.3

En este documento, se describe el contenido de seguridad de Apple TV 7.0.3.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Apple TV 7.0.3

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: un comando afc creado con fines maliciosos podría permitir que se accediera a partes protegidas del sistema de archivos.

    Descripción: existe una vulnerabilidad en el mecanismo de vinculación simbólica de afc. Esta vulnerabilidad se resolvió agregando controles de ruta adicionales.

    ID CVE

    CVE-2014-4480: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: la apertura de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un desbordamiento de enteros en la gestión de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4481: Felipe Andrés Manzano de Binamuse VRT en colaboración con el programa iSIGHT Partners GVP

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: un usuario local podría ser capaz de ejecutar código sin firma.

    Descripción: existía un problema de administración de estados en la gestión de archivos ejecutables Mach-O con segmentos superpuestos. Este problema se solucionó mediante la mejora de la validación de tamaños de segmentos.

    ID CVE

    CVE-2014-4455: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: la apertura de un archivo PDF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: se producía un desbordamiento de búfer en la administración de archivos de tipos de letra. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4483: Apple

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: el procesamiento de un archivo .dfont creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en la administración de archivos .dfont. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4484: Gaurav Baruah en colaboración con la iniciativa Zero Day de HP

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: la visualización de un archivo XML creado con fines maliciosos podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: se producía un desbordamiento de búfer en el analizador XML. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2014-4485: Apple

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de falta de referencia de puntero nulo en el procesamiento de listas de recursos por parte de IOAcceleratorFamily. Este problema se solucionó eliminando código innecesario.

    ID CVE

    CVE-2014-4486: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un desbordamiento de búfer en IOHIDFamily. Este problema se solucionó mediante la mejora de la validación de tamaño.

    ID CVE

    CVE-2014-4487: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de validación en el procesamiento por parte de IOHIDFamily de los metadatos de la cola de recursos. Este problema se solucionó mediante la mejora de la validación de metadatos.

    ID CVE

    CVE-2014-4488: Apple

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de falta de referencia de puntero nulo en el procesamiento de colas de eventos por parte de IOHIDFamily. Este problema se solucionó mediante la mejora de la validación.

    ID CVE

    CVE-2014-4489: @beist

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: las aplicaciones de iOS diseñadas o comprometidas para propósitos maliciosos podrían determinar las direcciones en el kernel

    Descripción: existía un problema de divulgación de información en el manejo de las API relacionadas con extensiones de kernel. Las respuestas que contengan una clave OSBundleMachOHeaders podrían tener direcciones de kernel incluidas, que pueden asistir a sobrepasar la protección ASLR (Address space layout randomization). El problema se solucionó al no deslizar las direcciones antes de devolverlas.

    ID CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema en el subsistema de memorias compartidas del kernel que permitía a un atacante escribir en una memoria que debería ser de solo lectura. Este problema se solucionó implementando una verificación más estricta de los permisos de memorias compartidas.

    ID CVE

    CVE-2014-4495: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: las aplicaciones de iOS diseñadas o comprometidas para propósitos maliciosos podrían determinar las direcciones en el kernel

    Descripción: la interfaz del kernel mach_port_kobjec filtraba las direcciones de kernel y los valores de permutación, lo que podía ayudar a omitir la protección aleatoria en el espacio de dirección de diseño. Este problema se solucionó desactivando la interfaz mach_port_kobjec en las configuraciones de producción.

    ID CVE

    CVE-2014-4496: TaiG Jailbreak Team

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: una aplicación protegida malintencionada puede poner en riesgo daemon networkd

    Descripción: existían múltiples problemas de confusión de tipo en la administración de la comunicación entre procesos por parte de networkd. Mediante el envío de un mensaje con formato malicioso para networkd, puede ser posible ejecutar código arbitrario como el mismo proceso. El problema se resolvió mediante la comprobación adicional de tipos.

    ID CVE

    CVE-2014-4492: Ian Beer de Google Project Zero

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: las hojas de estilo que se cargan como origen cruzado pueden permitir la exfiltración de datos.

    Descripción: un SVG cargado en un elemento img podría incluir un archivo CSS de origen cruzado. Este problema se solucionó mediante un bloqueo mejorado de las referencias CSS externas en SVG.

    ID CVE

    CVE-2014-4465: Rennie deGraaf de iSEC Partners

  • Apple TV

    Disponible para: Apple TV (tercera generación) y posterior

    Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria

    Descripción: existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT en colaboración con la iniciativa Zero Day de HP

    CVE-2014-4479: Apple

  • Apple TV

    Disponible para: iPhone 4s y posterior, iPod touch (quinta generación) y posterior, iPad 2 y posterior

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: la biblioteca Kerberos libgssapi mostraba un identificador de contexto con una referencia colgante. Este problema se solucionó mejorando la administración de estados.

    ID CVE

    CVE-2014-5352

    •  

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: