Acerca del contenido de seguridad de tvOS 12.1.1

En este documento, se describe el contenido de seguridad de tvOS 12.1.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

tvOS 12.1.1

AirPort

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Una app creada con fines malintencionados podía elevar privilegios.

Descripción: Se solucionó un problema de confusión de tipo mejorando el manejo de la memoria.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Imágenes de disco

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2018-4427: Pangu Team

Kernel

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Un usuario local podía leer la memoria del kernel.

Descripción: Se solucionó un problema de inicialización de la memoria mejorando el manejo de la memoria.

CVE-2018-4431: Un investigador de seguridad independiente informó esta vulnerabilidad al programa SecuriTeam Secure Disclosure de Beyond Security

CVE-2018-4448: Brandon Azad

Kernel

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Un atacante con una posición de red privilegiada podía ejecutar un ataque de denegación de servicio.

Descripción: Se solucionó un problema de denegación de servicio eliminando el código vulnerable.

CVE-2018-4460: Kevin Backhouse de Semmle Security Research Team

Kernel

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Un usuario local podía leer la memoria del kernel.

Descripción: Se solucionó un problema de inicialización de la memoria mejorando el manejo de la memoria.

CVE-2018-4431: Un investigador de seguridad independiente informó esta vulnerabilidad al programa SecuriTeam Secure Disclosure de Beyond Security

Kernel

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Una app creada con fines malintencionados podía elevar privilegios.

Descripción: Se solucionó un problema de lógica mejorando las restricciones.

CVE-2018-4435: Jann Horn de Google Project Zero, Juwei Lin (@panicaII) y Junzhi Lu de TrendMicro Mobile Security Team en colaboración con la iniciativa Zero Day de Trend Micro

Kernel

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la administración de estados.

CVE-2018-4447: Juwei Lin (@panicaII) y Zhengyu Dong de TrendMicro Mobile Security Team en colaboración con la iniciativa Zero Day de Trend Micro

Kernel

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Una app podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2018-4461: Ian Beer de Google Project Zero

Perfiles

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: Un perfil de configuración no confiable podía mostrarse incorrectamente como verificado.

Descripción: Existía un problema de validación de certificados en los perfiles de configuración. Este problema se solucionó mediante comprobaciones adicionales.

CVE-2018-4436: James Seeley @Code4iOS, Joseph S. de JJS Securities

WebKit

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2018-4441: lokihardt de Google Project Zero

CVE-2018-4442: lokihardt de Google Project Zero

CVE-2018-4443: lokihardt de Google Project Zero

WebKit

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un problema de lógica que provocaba daños en la memoria. Este problema se solucionó mejorando la administración de estado.

CVE-2018-4438: lokihardt de Google Project Zero, Qixun Zhao de Qihoo 360 Vulcan Team

WebKit

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía divulgar información confidencial del usuario.

Descripción: Se solucionó un problema de lógica mejorando la administración de estado.

CVE-2018-4444: James Lee (@Windowsrcer) de S2swww.com

WebKit

Disponible para Apple TV 4K y Apple TV (cuarta generación)

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

CVE-2018-4437: HyungSeok Han, DongHyeon Oh, y Sang Kil Cha de KAIST Softsec Lab, Corea

CVE-2018-4464: HyungSeok Han, DongHyeon Oh, y Sang Kil Cha de KAIST Softsec Lab, Corea

Otros agradecimientos

Perfiles

Nos gustaría darles las gracias a Luke Deshotels, Jordan Beichler y William Enck de la Universidad Estatal de Carolina del Norte, y a Costin Carabaș y Răzvan Deaconescu de la Universidad Politécnica de Bucarest por su ayuda.