Sobre o conteúdo de segurança do tvOS 9.2.1
Este documento descreve o conteúdo de segurança do tvOS 9.2.1
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a Segurança do Produto Apple, consulte o site sobre Segurança do Produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
tvOS 9.2.1
CFNetwork Proxies
Disponível para: Apple TV (4ª geração)
Impacto: um invasor em uma posição de rede privilegiada pode conseguir vazar informações confidenciais do usuário
Descrição: havia um vazamento de informações no processamento de solicitações HTTP e HTTPS. Esse problema foi resolvido por meio de melhorias no processamento de URLs.
CVE-ID
CVE-2016-1801: Alex Chapman e Paul Stone da Context Information Security
CommonCrypto
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo malicioso pode conseguir vazar informações confidenciais do usuário
Descrição: havia um problema no processamento de valores de retorno no CCCrypt. Esse problema foi resolvido por meio de melhorias no gerenciamento do comprimento das chaves.
CVE-ID
CVE-2016-1802 : Klaus Rodewig
CoreCapture
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir executar código arbitrário com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
CVE-ID
CVE-2016-1803: Ian Beer do Google Project Zero em parceria com a Zero Day Initiative da Trend Micro
Imagens de disco
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir ler a memória do kernel
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-ID
CVE-2016-1807: Ian Beer do Google Project Zero
Disk Images
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir executar código arbitrário com privilégios de kernel
Descrição: havia um problema de memória corrompida no processamento de imagens de disco. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2016-1808: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro
ImageIO
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de uma imagem criada com maliciosamente pode levar a uma negação de serviço
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
CVE-ID
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir executar código arbitrário com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2016-1817: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-1818: Juwei Lin da TrendMicro, sweetchip@GRAYHASH em parceria com a Zero Day Initiative da Trend Micro
Entrada atualizada em 13 de dezembro de 2016
IOAcceleratorFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir causar uma negação de serviço
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias no bloqueio.
CVE-ID
CVE-2016-1814: Juwei Lin da TrendMicro
IOAcceleratorFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir executar código arbitrário com privilégios de kernel
Descrição: uma vulnerabilidade de memória corrompida foi resolvida por meio de melhorias no bloqueio.
CVE-ID
CVE-2016-1819: Ian Beer do Google Project Zero
IOAcceleratorFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir executar código arbitrário com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
CVE-ID
CVE-2016-1813: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir executar código arbitrário com privilégios do kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2016-1823: Ian Beer do Google Project Zero
CVE-2016-1824: Marco Grassi (@marcograss) do KeenLab (@keen_lab), Tencent
CVE-2016-4650: Peter Pi da Trend Micro em parceria com a Zero Day Initiative da HP
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir executar código arbitrário com privilégios de kernel
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-ID
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
libc
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode conseguir causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-ID
CVE-2016-1832: Karl Williamson
libxml2
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento memória.
CVE-ID
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1837: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2016-1841: Sebastian Apelt
OpenGL
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-ID
CVE-2016-1847: Tongbo Luo e Bo Qu da Palo Alto Networks
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode divulgar dados de outro site
Descrição: um problema de rastreamento insuficiente de contaminação no processamento de imagens svg foi resolvido por meio de melhorias no rastreamento de contaminação.
CVE-ID
CVE-2016-1858: um pesquisador anônimo
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-ID
CVE-2016-1854: anônimo em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-1855: Tongbo Luo e Bo Qu da Palo Alto Networks
CVE-2016-1856: lokihardt em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-1857: Jeonghoon Shin@A.D.D, Liang Chen, Zhen Feng, wushi da KeenLab, Tencent em parceria com a Zero Day Initiative da Trend Micro
WebKit Canvas
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-ID
CVE-2016-1859: Liang Chen, wushi do KeenLab, Tencent em parceria com a Zero Day Initiative da Trend Micro
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.