Sobre o conteúdo de segurança do tvOS 9.2
Este documento descreve o conteúdo de segurança do tvOS 9.2.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.
tvOS 9.2
FontParser
Disponível para: Apple TV (4ª geração)
Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1740: HappilyCoded (ant4g0nist e r3dsm0k3), que trabalha na Zero Day Initiative (ZDI) da Trend Micro
HTTPProtocol
Disponível para: Apple TV (4ª geração)
Impacto: um invasor externo pode executar um código arbitrário
Descrição: havia diversas vulnerabilidades em versões do nghttp2 anteriores à 1.6.0. A mais séria delas pode ter levado à execução remota de códigos. Esses problemas foram solucionados com a atualização do nghttp2 para a versão 1.6.0.
ID de CVE
CVE-2015-8659
IOHIDFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode configurar o layout de memória do kernel
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1748: Brandon Azad
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após livre" foi resolvido por meio de melhorias no gerenciamento de memória.
ID de CVE
CVE-2016-1750: CESG
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: diversos estouros de inteiros foram resolvidos por meio de melhorias na validação de entradas.
ID de CVE
CVE-2016-1753: Juwei Lin da Trend Micro em conjunto com a Zero Day Initiative (ZDI) da Trend Micro
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode contornar a assinatura de códigos
Descrição: ocorria um problema de permissões no qual uma permissão para execução era concedida de modo incorreto. Esse problema foi solucionado por meio de melhorias na validação de permissões.
ID de CVE
CVE-2016-1751: Eric Monti da Square Mobile Security
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: diversos problemas de corrupção de memória foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1754: Lufeng Li da Qihoo 360 Vulcan Team
CVE-2016-1755: Ian Beer do Google Project Zero
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode causar uma negação de serviço
Descrição: um problema de negação de serviço foi solucionado por meio de melhorias na validação.
ID de CVE
CVE-2016-1752 : CESG
libxml2
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: diversos problemas de corrupção de memória foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-1819
CVE-2015-5312: David Drysdale do Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany do Google
CVE-2015-7942: Kostya Serebryany do Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1762
Segurança
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de um certificado criado com códigos maliciosos pode causar a execução de códigos arbitrários
Descrição: havia um problema de corrupção de memória no decodificador de ASN.1. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2016-1950: Francis Gabriel da Quarkslab
TrueTypeScaler
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução de códigos arbitrários
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2016-1775: 0x1byte, que trabalha na Zero Day Initiative (ZDI) da Trend Micro
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode resultar na execução de códigos arbitrários
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento de memória.
ID de CVE
CVE-2016-1783: Mihai Parparita do Google
Histórico do WebKit
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode resultar em falha do Safari
Descrição: um problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.
ID de CVE
CVE-2016-1784 : Moony Li e Jack Tang da TrendMicro e 李普君 da 无声信息技术PKAV Team (PKAV.net)
Wi-Fi
Disponível para: Apple TV (4ª geração)
Impacto: um invasor com uma posição de rede privilegiada pode executar códigos arbitrários
Descrição: ocorria um problema de validação de quadros e corrupção de memória para um determinado ethertype. Esse problema foi resolvido por meio de validação de ethertype adicional e melhorias no processamento de memória.
ID de CVE
CVE-2016-0801: um pesquisador anônimo
CVE-2016-0802: um pesquisador anônimo
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.