Acerca del contenido de seguridad de tvOS 10.2.2

En este documento, se describe el contenido de seguridad de tvOS 10.2.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página  Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página de  seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

tvOS 10.2.2

Publicado el 19 de julio de 2017

Contactos

Disponible para Apple TV (cuarta generación)

Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando el manejo de la memoria.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de un archivo de película creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la comprobación de límites.

CVE-2017-7008: Yangkang (@dnpushme) de Qihoo 360 Qex Team

IOUSBFamily

Disponible para Apple TV (cuarta generación)

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7009: Shrek_wzw de Qihoo 360 Nirvan Team

Kernel

Disponible para Apple TV (cuarta generación)

Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7022: Un investigador anónimo

CVE-2017-7024: Un investigador anónimo

CVE-2017-7026: Un investigador anónimo

Kernel

Disponible para Apple TV (cuarta generación)

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7023: Un investigador anónimo

CVE-2017-7025: Un investigador anónimo

CVE-2017-7027: Un investigador anónimo

CVE-2017-7069: Proteas de Qihoo 360 Nirvan Team

Kernel

Disponible para Apple TV (cuarta generación)

Impacto: Una app podía leer la memoria restringida.

Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.

CVE-2017-7028: Un investigador anónimo

CVE-2017-7029: Un investigador anónimo

libarchive

Disponible para Apple TV (cuarta generación)

Impacto: Abrir un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando la comprobación de los límites.

CVE-2017-7068: Detectado por OSS-Fuzz

libxml2

Disponible para Apple TV (cuarta generación)

Impacto: El análisis de un documento XML creado con fines malintencionados podía provocar la divulgación de información del usuario.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2017-7010: Apple

CVE-2017-7013: Detectado por OSS-Fuzz

libxpc

Disponible para Apple TV (cuarta generación) 

Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7047: Ian Beer de Google Project Zero

WebKit

Disponible para Apple TV (cuarta generación)

Impacto: Un sitio web malintencionado podía exfiltrar datos mediante un origen cruzado.

Descripción: El procesamiento de contenido web creado con fines malintencionados podía ocasionar que los datos de orígenes cruzados se exfiltraran usando filtros SVG para ejecutar un ataque de canal lateral de temporización. Para solucionar este problema, no se pintó el búfer de orígenes cruzados en el marco en el que se filtra.

CVE-2017-7006: David Kohlbrenner de la Universidad de California (UC) en San Diego; un investigador anónimo

WebKit

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7018: lokihardt de Google Project Zero

CVE-2017-7020: likemeng de Baidu Security Lab

CVE-2017-7030: chenqin de Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin de Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt de Google Project Zero

CVE-2017-7039: Ivan Fratric de Google Project Zero

CVE-2017-7040: Ivan Fratric de Google Project Zero

CVE-2017-7041: Ivan Fratric de Google Project Zero

CVE-2017-7042: Ivan Fratric de Google Project Zero

CVE-2017-7043: Ivan Fratric de Google Project Zero

CVE-2017-7046: Ivan Fratric de Google Project Zero

CVE-2017-7048: Ivan Fratric de Google Project Zero

CVE-2017-7052: cc en colaboración con la iniciativa Zero Day de Trend Micro

CVE-2017-7055: National Cyber Security Centre (NCSC) del Reino Unido

CVE-2017-7056: lokihardt de Google Project Zero

CVE-2017-7061: lokihardt de Google Project Zero

WebKit

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados con DOMParser podía ocasionar un ataque de scripts de sitios.

Descripción: Existía un problema lógico en el manejo de DOMParser. El problema se solucionó mejorando la administración de estado.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai) de Digital Security junto a Egor Saltykov (@ansjdnakjdnajkd) de Digital Security, y Neil Jenkins de FastMail Pty Ltd

CVE-2017-7059: Masato Kinugawa y Mario Heiderich de Cure53

Entrada actualizada el 28 de julio de 2017

WebKit

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.

CVE-2017-7049: Ivan Fratric de Google Project Zero

Carga de la página WebKit

Disponible para Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7019: Zhiyang Zeng de Tencent Security Platform Department

Wi-Fi

Disponible para Apple TV (cuarta generación)

Impacto: Un atacante dentro del alcance podía ejecutar código arbitrario en el chip de Wi-Fi.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-7065: Gal Beniamini de Google Project Zero

Entrada agregada el 25 de septiembre de 2017

Wi-Fi

Disponible para Apple TV (cuarta generación)

Impacto: Un atacante en el alcance de una red Wi-Fi puede provocar una denegación de servicio en el chip de Wi-Fi.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación.

CVE-2017-7066: Gal Beniamini de Google Project Zero

Entrada agregada el 26 de septiembre de 2017

Wi-Fi

Disponible para Apple TV (cuarta generación)

Impacto: Un atacante dentro del alcance podía ejecutar código arbitrario en el chip de Wi-Fi.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-9417: Nitay Artenstein de Exodus Intelligence

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: