Sobre o conteúdo de segurança do Apple TV 6.1
Este documento descreve o conteúdo de segurança do Apple TV 6.1.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.
Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple."
Apple TV 6.1
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: um invasor com acesso a um Apple TV pode acessar informações confidenciais do usuário a partir de registros
Descrição: informações confidenciais do usuário eram registradas. Esse problema foi resolvido com o registro de menos informações.
ID de CVE
CVE-2014-1279: David Schuetz trabalhando no Intrepidus Group
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: as datas de expiração não foram honradas
Descrição: as datas de expiração de perfis de configurações móveis não foram avaliadas corretamente. O problema foi resolvido através do processamento aprimorado de perfis de configuração.
ID de CVE
CVE-2014-1267
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: um aplicativo mal-intencionado podia provocar um encerramento inesperado no sistema
Descrição: havia um problema de asserção acessível no processamento de chamadas da API IOKit do CoreCapture. O problema foi resolvido através de validação adicional de entrada de IOKit.
ID de CVE
CVE-2014-1271: Filippo Bigarella
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: um usuário local pode alterar permissões sobre arquivos arbitrários
Descrição: o CrashHouseKeeping seguia links simbólicos ao alterar permissões em arquivos. Esse problema foi resolvido pelo não seguimento de links simbólicos ao alterar permissões em arquivos.
ID de CVE
CVE-2014-1272: evad3rs
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: requisitos de assinatura de código podiam ser ignorados
Descrição: instruções de nova localização de texto em bibliotecas dinâmicas podiam ser carregadas por dyld sem validação de assinatura de código. Esse problema foi resolvido ao ignorar instruções de nova localização de texto.
ID de CVE
CVE-2014-1273: evad3rs
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: a visualização de um arquivo de PDF criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários
Descrição: havia um estouro de buffer no processamento de imagens JPEG2000 em arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1275: Felix Groebert da Equipe de Segurança do Google
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: a visualização de uma imagem TIFF criada com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários
Descrição: ocorria um estouro de buffer no processamento de imagens TIFF pelo libtiff. Esse problema foi solucionado através de validação adicional de imagens TIFF.
ID de CVE
CVE-2012-2088
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: a visualização de um arquivo JPEG criado com códigos mal-intencionados pode levar à divulgação de conteúdo da memória
Descrição: havia um problema de acesso de memória não inicializada no processamento de libjpeg de marcadores JPEG, resultando na divulgação de conteúdo da memória. Esse problema foi resolvido através de validação adicional de arquivos JPEG.
ID de CVE
CVE-2013-6629: Michal Zalewski
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel
Descrição: havia um problema de acesso à memória fora dos limites na função ARM ptmx_get_ioctl. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2014-1278: evad3rs
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: um perfil de configuração pode estar oculto para o usuário
Descrição: um perfil de configuração com um nome longo poderia ser carregado no dispositivo, mas não exibido na interface do usuário do perfil. Esse problema foi resolvido através do processamento aprimorado de nomes de perfil.
ID de CVE
CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani da Skycure
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: uma pessoa com acesso físico ao dispositivo podia ser capaz de causar execução arbitrária de código em modo kernel
Descrição: ocorria um problema de corrupção de memória durante o processamento de mensagens USB. Esse problema foi resolvido através da validação adicional de mensagens USB.
ID de CVE
CVE-2014-1287: Andy Davis do NCC Group
WebKit
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia diversos problemas de corrupção de memória no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2013-2909: Atte Kettunen da OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Equipe de Segurança do Google Chrome
CVE-2013-5196: Equipe de Segurança do Google Chrome
CVE-2013-5197: Equipe de Segurança do Google Chrome
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Equipe de Segurança do Google Chrome
CVE-2013-5228: Keen Team (@K33nTeam) trabalhando na Zero Day Initiative da HP
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) que trabalha com a Zero Day Initiative da HP, Equipe de Segurança do Google Chrome
CVE-2014-1291: Equipe de Segurança do Google Chrome
CVE-2014-1292: Equipe de Segurança do Google Chrome
CVE-2014-1293: Equipe de Segurança do Google Chrome
CVE-2014-1294: Equipe de Segurança do Google Chrome
Apple TV
Disponível para: Apple TV (2ª geração e versões posteriores)
Impacto: reproduzir um vídeo criado com más intenções poderia fazer com que o dispositivo não respondesse
Descrição: havia um problema de cancelamento de referência nula no processamento de arquivos MPEG-4 codificados. Esse problema foi resolvido por meio de um gerenciamento aprimorado da memória.
ID de CVE
CVE-2014-1280: rg0rd
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.