Acerca del contenido de seguridad de tvOS 10.2.2
En este documento, se describe el contenido de seguridad de tvOS 10.2.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
tvOS 10.2.2
Contactos
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se solucionó un problema de desbordamiento del búfer mejorando el manejo de la memoria.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de un archivo de película creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la comprobación de límites.
CVE-2017-7008: Yangkang (@dnpushme) de Qihoo 360 Qex Team
IOUSBFamily
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7009: Shrek_wzw de Qihoo 360 Nirvan Team
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7022: Un investigador anónimo
CVE-2017-7024: Un investigador anónimo
CVE-2017-7026: Un investigador anónimo
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7023: Un investigador anónimo
CVE-2017-7025: Un investigador anónimo
CVE-2017-7027: Un investigador anónimo
CVE-2017-7069: Proteas de Qihoo 360 Nirvan Team
Kernel
Disponible para Apple TV (cuarta generación)
Impacto: Una app podía leer la memoria restringida.
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2017-7028: Un investigador anónimo
CVE-2017-7029: Un investigador anónimo
libarchive
Disponible para Apple TV (cuarta generación)
Impacto: Abrir un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de desbordamiento del búfer mejorando la comprobación de los límites.
CVE-2017-7068: Detectado por OSS-Fuzz
libxml2
Disponible para Apple TV (cuarta generación)
Impacto: El análisis de un documento XML creado con fines malintencionados podía provocar la divulgación de información del usuario.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2017-7010: Apple
CVE-2017-7013: Detectado por OSS-Fuzz
libxpc
Disponible para Apple TV (cuarta generación)
Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7047: Ian Beer de Google Project Zero
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: Un sitio web malintencionado podía exfiltrar datos mediante un origen cruzado.
Descripción: El procesamiento de contenido web creado con fines malintencionados podía ocasionar que los datos de orígenes cruzados se exfiltraran usando filtros SVG para ejecutar un ataque de canal lateral de temporización. Para solucionar este problema, no se pintó el búfer de orígenes cruzados en el marco en el que se filtra.
CVE-2017-7006: David Kohlbrenner de la Universidad de California (UC) en San Diego; un investigador anónimo
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7018: lokihardt de Google Project Zero
CVE-2017-7020: likemeng de Baidu Security Lab
CVE-2017-7030: chenqin de Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin de Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt de Google Project Zero
CVE-2017-7039: Ivan Fratric de Google Project Zero
CVE-2017-7040: Ivan Fratric de Google Project Zero
CVE-2017-7041: Ivan Fratric de Google Project Zero
CVE-2017-7042: Ivan Fratric de Google Project Zero
CVE-2017-7043: Ivan Fratric de Google Project Zero
CVE-2017-7046: Ivan Fratric de Google Project Zero
CVE-2017-7048: Ivan Fratric de Google Project Zero
CVE-2017-7052: cc en colaboración con la iniciativa Zero Day de Trend Micro
CVE-2017-7055: National Cyber Security Centre (NCSC) del Reino Unido
CVE-2017-7056: lokihardt de Google Project Zero
CVE-2017-7061: lokihardt de Google Project Zero
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados con DOMParser podía ocasionar un ataque de scripts de sitios.
Descripción: Existía un problema lógico en el manejo de DOMParser. El problema se solucionó mejorando la administración de estado.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) de Digital Security junto a Egor Saltykov (@ansjdnakjdnajkd) de Digital Security, y Neil Jenkins de FastMail Pty Ltd
CVE-2017-7059: Masato Kinugawa y Mario Heiderich de Cure53
WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.
CVE-2017-7049: Ivan Fratric de Google Project Zero
Carga de la página WebKit
Disponible para Apple TV (cuarta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7019: Zhiyang Zeng de Tencent Security Platform Department
Wi-Fi
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante dentro del alcance podía ejecutar código arbitrario en el chip de Wi-Fi.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7065: Gal Beniamini de Google Project Zero
Wi-Fi
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante en el alcance de una red Wi-Fi puede provocar una denegación de servicio en el chip de Wi-Fi.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación.
CVE-2017-7066: Gal Beniamini de Google Project Zero
Wi-Fi
Disponible para Apple TV (cuarta generación)
Impacto: Un atacante dentro del alcance podía ejecutar código arbitrario en el chip de Wi-Fi.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-9417: Nitay Artenstein de Exodus Intelligence
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.