Acerca del contenido de seguridad de Apple TV 7
En este documento, se describe el contenido de seguridad de Apple TV 7.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo usar la clave PGP de seguridad de los productos Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.
Apple TV 7
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Un atacante puede obtener las credenciales Wi-Fi
Descripción: Un atacante pudo haber suplantado un punto de acceso Wi-Fi, haber ofrecido autenticarse con LEAP, haber roto el hash MS-CHAPv1 y haber usado las credenciales obtenidas para autenticarse en el punto de acceso objetivo, incluso si este admitiera métodos de autenticación más seguros. Este problema se solucionó eliminando la compatibilidad con LEAP.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax y Wim Lamotte de la Universidad de Hasselt
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Un atacante con acceso a un dispositivo puede acceder a información confidencial del usuario en los registros
Descripción: Se registró información confidencial del usuario. Este problema se solucionó reduciendo la cantidad de información registrada.
CVE-ID
CVE-2014-4357: Heli Myllykoski de OP-Pohjola Group
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Un atacante con una posición privilegiada en la red puede hacer que un dispositivo piense que está actualizado incluso si no es así
Descripción: Existía un problema de validación en el manejo de las respuestas de verificación de actualizaciones. Se empleaban fechas falsas para los encabezados de respuesta Last-Modified (Fecha de última modificación) configurados con fechas futuras para las comprobaciones If-Modified-Since (Si no se modifican desde) en posteriores solicitudes de actualización. Este problema se solucionó validando el encabezado Last-Modified (Fecha de última modificación).
CVE-ID
CVE-2014-4383: Raul Siles de DinoSec
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Abrir un archivo PDF creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de enteros en el manejo de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP
Apple TV
Disponible para: Apple TV tercera generación y modelos posteriores
Impacto: Abrir un archivo PDF creado con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la divulgación de información
Descripción: Existía una lectura de memoria inapropiada en el manejo de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4378 : Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP
Apple TV
Disponible para: Apple TV tercera generación y modelos posteriores Impacto: Puede que una aplicación ocasione un cierre inesperado del sistema Descripción: Existía una desviación de puntero nulo en el manejo de argumentos de la API IOAcceleratorFamily. Este problema se solucionó mejorando la validación de los argumentos de la API IOAcceleratorFamily.CVE-IDCVE-2014-4369: Sarah aka winocm y Cererdlong del Equipo de Seguridad de Alibaba Mobile
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
Disponible para: Apple TV tercera generación y modelos posteriores
Impacto: Puede que el dispositivo se reinicie de forma inesperada
Descripción: Se presentó una desviación del puntero NULO en el controlador IntelAccelerator. Este problema se solucionó mejorando el manejo de errores.
CVE-ID
CVE-2014-4373: cunzhang de Adlab de Venustech
Apple TV
Disponible para: Apple TV tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede leer los punteros del kernel, que pueden usarse para evitar la aleatorización de la disposición del espacio de direcciones del kernel.
Descripción: Existía un problema de lectura inapropiada en el manejo de una función IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4379: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar un código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento de búfer de montón en el manejo de las propiedades de asignación de claves de IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4404: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar un código arbitrario con privilegios del sistema
Descripción: Existía una desviación del puntero nulo en el manejo de las propiedades de asignación de claves de IOHIDFamily. Este problema se solucionó mejorando la validación de las propiedades key-mapping de IOHIDFamily.
ID CVE
CVE-2014-4405: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar un código arbitrario con privilegios del kernel
Descripción: Existía un problema de escritura inapropiada en la extensión del kernel de IOHIDFamily. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4380: cunzhang de Adlab de Venustech
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede ser capaz de leer datos no inicializados de una memoria del kernel
Descripción: Existía un problema de acceso a la memoria no inicializada en el manejo de las funciones de IOKit. Este problema se solucionó mediante la inicialización mejorada de la memoria
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar un código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en el manejo de ciertos campos de metadatos de los objetos IODataQueue. Este problema se solucionó mejorando la validación de metadatos.
CVE-ID
CVE-2014-4418: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar un código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en el manejo de ciertos campos de metadatos de los objetos IODataQueue. Este problema se solucionó mejorando la validación de metadatos.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un desbordamiento de enteros en el manejo de las funciones IOKit. Para solucionar este problema, se mejoró la validación de los argumentos de la API IOKit.
ID CVE
CVE-2014-4389: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Un usuario local puede ser capaz de determinar la disposición de la memoria del kernel
Descripción: Existían múltiples problemas de memoria no inicializada en la interfaz de estadísticas de red, lo que llevó a la divulgación del contenido de la memoria del kernel. Este problema se solucionó mediante la inicialización adicional de la memoria.
ID CVE
CVE-2014-4371: Fermin J. Serna del equipo de seguridad de Google
CVE-2014-4419: Fermin J. Serna del equipo de seguridad de Google
CVE-2014-4420: Fermin J. Serna del equipo de seguridad de Google
CVE-2014-4421: Fermin J. Serna del equipo de seguridad de Google
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una persona con una posición privilegiada en la red puede provocar una denegación de servicio
Descripción: Existía un problema de condición de carrera en el manejo de paquetes Ipv6. Para resolver este problema, se mejoró la comprobación del estado de bloqueo.
ID CVE
CVE-2011-2391: Marc Heuse
Apple TV
Disponible para: Apple TV tercera generación y modelos posteriores
Impacto: Un usuario local puede ser capaz de ocasionar el cierre inesperado del sistema o la ejecución de un código arbitrario en el kernel
Descripción: Existía un problema de doble liberación en el manejo de puertos Mach. Este problema se solucionó mediante la mejora de la validación de puertos Mach.
CVE-ID
CVE-2014-4375
Apple TV
Disponible para: Apple TV tercera generación y modelos posteriores
Impacto: Un usuario local puede ser capaz de ocasionar el cierre inesperado del sistema o la ejecución de un código arbitrario en el kernel
Descripción: Existía un problema de lectura inapropiada en rt_setgate. Esto podía provocar la divulgación o el daño de la memoria. Este problema se solucionó mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4408
Apple TV
Disponible para: Apple TV tercera generación y modelos posteriores
Impacto: Algunas medidas de endurecimiento del kernel pueden evitarse
Descripción: El generador de números aleatorios "anticipado" que se usó en algunas medidas de endurecimiento del kernel no era seguro desde el punto de vista criptográfico y parte de sus resultados estaba expuesta al espacio del usuario, lo que permitía evitar las medidas de endurecimiento. Este problema se solucionó reemplazando el generador de números aleatorios por un algoritmo criptográficamente seguro y usando un núcleo de 16 bytes.
CVE-ID
CVE-2014-4422: Tarjei Mandt de Azimuth Security
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar un código arbitrario con privilegios de superusuario
Descripción: Existía un problema de escritura inapropiada en Libnotify. Este problema se solucionó mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4381: Ian Beer de Google Project Zero
Apple TV
Disponible para: Apple TV tercera generación y modelos posteriores
Impacto: Un usuario local puede ser capaz de cambiar los permisos en archivos arbitrarios
Descripción: syslogd siguió enlaces simbólicos mientras cambiaba los permisos en los archivos. Este problema se solucionó mejorando el manejo de enlaces simbólicos.
CVE-ID
CVE-2014-4372: Tielei Wang y YeongJin Jang de Georgia Tech Information Security Center (GTISC)
Apple TV
Disponible para: Apple TV de tercera generación y modelos posteriores
Impacto: Un atacante con una posición privilegiada en la red puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existían múltiples problemas de corrupción de memoria en WebKit. Para solucionar estos problemas, se mejoró el manejo de la memoria.
CVE-ID
CVE-2013-6663: Atte Kettunen de OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Equipo de seguridad de Google Chrome
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel de Google
CVE-2014-4411: Equipo de seguridad de Google Chrome
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.