Acerca del contenido de seguridad de tvOS 17.2

En este documento, se describe el contenido de seguridad de tvOS 17.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

tvOS 17.2

Publicado el 11 de diciembre de 2023

AVEVideoEncoder

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Una app podía divulgar la memoria del kernel.

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2023-42884: Un investigador anónimo

ImageIO

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de una imagen podía ocasionar la ejecución de código arbitrario.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-42898: Zhenjiang Zhao de Pangu Team, Qianxin y Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM y Junsung Lee

Entrada actualizada el 22 de marzo de 2024

Kernel

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda salir de su zona protegida

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)

Libsystem

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda acceder a datos protegidos del usuario

Descripción: Se eliminó código vulnerable y se agregaron comprobaciones adicionales para solucionar un problema de permisos.

CVE-2023-42893

Entrada agregada el 22 de marzo de 2024

Sandbox

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Para solucionar este problema, se mejoró la redacción de información confidencial.

CVE-2023-42936

Entrada agregada el 22 de marzo de 2024

TCC

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda salir de su zona protegida

Descripción: Se mejoró la validación para solucionar un problema de manejo de rutas.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de Dawn Security Lab de JingDong

Entrada agregada el 22 de marzo de 2024

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de una imagen podía provocar una denegación de servicio.

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

WebKit Bugzilla: 263349
CVE-2023-42883: Equipo de Seguridad Ofensiva de Zoom

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de contenido web podía divulgar información confidencial. Apple está al tanto de que este problema podría haberse explotado frente a las versiones de iOS anteriores a iOS 16.7.1.

Descripción: Se mejoró la validación de entradas para solucionar un problema de lectura fuera de los límites.

WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne, de Google’s Threat Analysis Group

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de contenido web podía provocar la ejecución de código arbitrario. Apple está al tanto de que este problema podría haberse explotado frente a las versiones de iOS anteriores a iOS 16.7.1.

Descripción: Se solucionó un problema de vulnerabilidad de daños en la memoria mejorando el bloqueo.

WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne de Threat Analysis Group de Google

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Para solucionar un problema de uso después de liberación, se mejoró la administración de la memoria.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de 360 Vulnerability Research Institute y rushikesh nandedkar

Entrada agregada el 22 de marzo de 2024

 

Otros agradecimientos

WebSheet

Queremos agradecer a Paolo Ruggero de e-phors S.p.A. (una empresa de FINCANTIERI S.p.A.) por su ayuda.

Entrada agregada el 22 de marzo de 2024

Wi-Fi

Nos gustaría darles las gracias a Noah Roskin-Frazee y Prof. J. (ZeroClicks.ai Lab) por su ayuda.

 

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: