Acerca del contenido de seguridad del Apple TV 7.2

Este documento describe el contenido de seguridad del Apple TV 7.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Apple TV 7.2

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de validación en los objetos IOKit que usaba un driver de audio. Este problema se solucionó mejorando la validación de metadatos.

    ID CVE

    CVE-2015-1086

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: Una aplicación que use NSXMLParser podría emplearse para divulgar información.

    Descripción: Existía un problema con entidades externas XML en el manejo de XML por parte de NSXMLParser. Para solucionar este problema, se detuvo la carga de entidades externas en los orígenes.

    ID CVE

    CVE-2015-1092 Ikuya Fukumoto

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel

    Descripción: existía un problema en IOAcceleratorFamily que ocasionaba la divulgación de memoria del kernel. Para solucionar este problema, se eliminó el código innecesario.

    ID CVE

    CVE-2015-1094 Cererdlong de Alibaba Mobile Security Team

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: un dispositivo HID malicioso podría generar la ejecución de código arbitrario

    Descripción: Existía un problema de daños de la memoria en una API de IOHIDFamily. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-1095: Andrew Church

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel

    Descripción: existía un problema en IOHIDFamily que ocasionaba la divulgación de memoria del kernel. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2015-1096: Ilja van Sprundel de IOActive

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel

    Descripción: existía un problema en MobileFrameBuffer que ocasionaba la divulgación de memoria del kernel. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2015-1097 Barak Gabai del Equipo de Investigación de Seguridad de Aplicaciones X-Force de IBM

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: una aplicación maliciosa podría provocar una denegación de servicio del sistema

    Descripción: se produjo una condición rara en la llamada de sistema setreuid del kernel. El problema se solucionó mejorando la administración de estado.

    ID CVE

    CVE-2015-1099: Mark Mentovai de Google Inc.

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: una aplicación maliciosa podría escalar privilegios utilizando un servicio comprometido diseñado para ejecutar privilegios reducidos

    Descripción: las llamadas de sistema setreuid y setregid no podían restringir privilegios de forma permanente. Para solucionar este problema, se restringieron los privilegios de forma correcta.

    ID CVE

    CVE-2015-1117: Mark Mentovai de Google Inc.

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: una aplicación maliciosa podría provocar el cierre inesperado del sistema o leer la memoria del kernel

    Descripción: existía un problema de acceso a la memoria fuera de límites en el kernel. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-1100: Maxime Villard de m00nbsd

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daño en la memoria del kernel. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-1101: lokihardt@ASRT, en colaboración con Zero Day Initiative de HP

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: un atacante con una posición de red privilegiada podría provocar una denegación de servicio

    Descripción: existía una inconsistencia de estado en el procesamiento de encabezados TCP. Para solucionar este problema, se mejoró el procesamiento de los estados.

    ID CVE

    CVE-2015-1102: Andrey Khudyakov y Maxim Zhuravlev de Kaspersky Lab

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: un atacante con posición de red privilegiada podría redireccionar el tráfico del usuario a hosts arbitrarios

    Descripción: se activaban redireccionamientos de ICMP por omisión en iOS. Para solucionar este problema, se desactivaron los redireccionamientos de ICMP.

    ID CVE

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: un atacante remoto podría eludir los filtros de la red

    Descripción: el sistema trataba algunos paquetes de IPv6 de interfaces de red remotas como paquetes locales. El problema se solucionó mediante el rechazo de estos paquetes.

    ID CVE

    CVE-2015-1104: Stephen Roettger del equipo de seguridad de Google

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: un atacante remoto podría provocar una denegación de servicio

    Descripción: existía un problema de incongruencia de estados en el manejo de datos de TCP fuera de banda. Para resolver este problema, se mejoró la administración de estados.

    ID CVE

    CVE-2015-1105: Kenton Varda de Sandstorm.io

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: el procesamiento de un perfil de configuración creado con fines malintencionados podría provocar el cierre inesperado de la aplicación

    Descripción: existía un problema de corrupción de memoria en el manejo de perfiles de configuración. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang y Tao Wei de FireEye, Inc.

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: es posible que se envíe información innecesaria a servidores externos durante la descarga de activos de podcasts

    Descripción: al descargar activos para un podcast al que estaba suscrito el usuario, se enviaban identificadores únicos a servidores externos. Para solucionar este problema, se eliminaron estos identificadores.

    ID CVE

    CVE-2015-1110: Alex Selivanov

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: las apps de terceros podrían acceder a identificadores de hardware

    Descripción: existía un problema de divulgación de información en la zona restringida para apps de terceros. Para solucionar este problema, se mejoró el perfil de zona protegida.

    ID CVE

    CVE-2015-1114

  • Apple TV

    Disponible para: Apple TV (tercera generación y posterior)

    Impacto: Visitar un sitio web creado con fines malintencionados puede provocar la ejecución de código arbitrario

    Descripción: existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-1068: Apple

    CVE-2015-1069: lokihardt@ASRT, en colaboración con Zero Day Initiative de HP

    CVE-2015-1070: Apple

    CVE-2015-1071: Apple

    CVE-2015-1072

    CVE-2015-1073: Apple

    CVE-2015-1074: Apple

    CVE-2015-1076

    CVE-2015-1077: Apple

    CVE-2015-1078: Apple

    CVE-2015-1079: Apple

    CVE-2015-1080: Apple

    CVE-2015-1081: Apple

    CVE-2015-1082: Apple

    CVE-2015-1083: Apple

    CVE-2015-1119: Renata Hodovan de University of Szeged / Samsung Electronics

    CVE-2015-1120: Apple

    CVE-2015-1121: Apple

    CVE-2015-1122: Apple

    CVE-2015-1123: Randy Luecke y Anoop Menon de Google Inc.

    CVE-2015-1124: Apple

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: