Acerca del contenido de seguridad de tvOS 9.2

En este documento, se describe el contenido de seguridad de tvOS 9.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

tvOS 9.2

  • FontParser

    Disponible para Apple TV (cuarta generación)

    Impacto: Abrir un archivo PDF creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1740: HappilyCoded (ant4g0nist y r3dsm0k3) en colaboración con Zero Day Initiative (ZDI) de Trend Micro

  • HTTPProtocol

    Disponible para Apple TV (cuarta generación)

    Impacto: Un atacante remoto podría ejecutar código arbitrario

    Descripción: Existían diversas vulnerabilidades en las versiones de nghttp2 anteriores a 1.6.0; la más grave podría haber derivado en la ejecución remota del código. Para solucionar esto, se actualizó nghttp2 a la versión 1.6.0.

    ID CVE

    CVE-2015-8659

  • IOHIDFamily

    Disponible para Apple TV (cuarta generación)

    Impacto: Una aplicación podría determinar la distribución de la memoria del kernel

    Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1748: Brandon Azad

  • Kernel

    Disponible para Apple TV (cuarta generación)

    Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionó un problema en el uso después de la liberación mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1750: CESG

  • Kernel

    Disponible para Apple TV (cuarta generación)

    Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionaron varios desbordamientos de enteros mejorando la validación de la entrada.

    ID CVE

    CVE-2016-1753: Juwei Lin Trend Micro en colaboración con Zero Day Initiative (ZDI) de Trend Micro

  • Kernel

    Disponible para Apple TV (cuarta generación)

    Impacto: Una aplicación podría omitir la firma de código

    Descripción: Existía un problema de permisos debido al cual se otorgaba un permiso de ejecución de manera incorrecta. Para solucionar este problema, se mejoró la validación de permisos.

    ID CVE

    CVE-2016-1751: Eric Monti de Square Mobile Security

  • Kernel

    Disponible para Apple TV (cuarta generación)

    Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1754: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer de Google Project Zero

  • Kernel

    Disponible para Apple TV (cuarta generación)

    Impacto: Una aplicación podría provocar una denegación de servicio

    Descripción: Se solucionó un problema de denegación del servicio mejorando la validación.

    ID CVE

    CVE-2016-1752: CESG

  • libxml2

    Disponible para Apple TV (cuarta generación)

    Impacto: El procesamiento de XML creado con fines malintencionados podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-1819

    CVE-2015-5312: David Drysdale de Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany de Google

    CVE-2015-7942: Kostya Serebryany de Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1762

  • Seguridad

    Disponible para Apple TV (cuarta generación)

    Impacto: Procesar un certificado creado con fines maliciosos podría ocasionar la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el decodificador ASN.1. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2016-1950: Francis Gabriel de Quarkslab

  • TrueTypeScaler

    Disponible para Apple TV (cuarta generación)

    Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de tipos de letra. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2016-1775: 0x1byte en colaboración con Zero Day Initiative (ZDI) de Trend Micro

  • WebKit

    Disponible para Apple TV (cuarta generación)

    Impacto: El procesamiento de contenido web creado con fines malintencionados podría ocasionar la ejecución de código arbitrario

    Descripción: Se solucionó un problema de daños de memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1783: Mihai Parparita de Google

  • Historial de WebKit

    Disponible para Apple TV (cuarta generación)

    Impacto: El procesamiento de contenido web creado con fines malintencionados podría ocasionar un bloqueo inesperado de Safari

    Descripción: Se solucionó un problema de agotamiento de recursos mejorando la validación de entradas.

    ID CVE

    CVE-2016-1784: Moony Li y Jack Tang de Trend Micro y 李普君 de 无声信息技术PKAV Team (PKAV.net)

  • Wi-Fi

    Disponible para Apple TV (cuarta generación)

    Impacto: Un atacante con una posición de red privilegiada podría ejecutar código arbitrario

    Descripción: Existía un problema de daños en la memoria y de validación de tramas para un EtherType determinado. Este problema se solucionó por medio de una validación adicional del EtherType y la mejora del manejo de la memoria.

    ID CVE

    CVE-2016-0801: Un investigador anónimo

    CVE-2016-0802: Un investigador anónimo

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: