Sobre o conteúdo de segurança do tvOS 9.2.2
Este documento descreve o conteúdo de segurança do tvOS 9.2.2.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
tvOS 9.2.2
CFNetwork Credentials
Disponível para: Apple TV (4ª geração)
Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário
Descrição: havia um problema de downgrade com credenciais de autenticação HTTP salvas nas Chaves. Esse problema foi solucionado por meio do armazenamento dos tipos de autenticação com as credenciais.
CVE-2016-4644: Jerry Decime com coordenação do CERT
CFNetwork Proxies
Disponível para: Apple TV (4ª geração)
Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário
Descrição: havia um problema de validação na análise de 407 respostas. Esse problema foi solucionado por meio de melhorias na validação de respostas.
CVE-2016-4643: Xiaofeng Zheng da Blue Lotus Team, Tsinghua University; Jerry Decime com coordenação do CERT
CFNetwork Proxies
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode enviar involuntariamente uma senha sem criptografia pela rede
Descrição: uma autenticação de proxy informava que proxies HTTP recebiam credenciais com segurança. Esse problema foi solucionado por meio de melhorias nos avisos.
CVE-2016-4642: Jerry Decime com coordenação do CERT
CoreGraphics
Disponível para: Apple TV (4ª geração)
Impacto: um invasor remoto pode executar códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4637: Tyler Bohan da Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Disponível para: Apple TV (4ª geração)
Impacto: um invasor remoto pode causar uma negação de serviço
Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.
CVE-2016-4632: Evgeny Sidorov da Yandex
ImageIO
Disponível para: Apple TV (4ª geração)
Impacto: um invasor remoto pode executar códigos arbitrários
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4631: Tyler Bohan da Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Disponível para: Apple TV (4ª geração)
Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7705: Craig Young da Tripwire VERT
IOAcceleratorFamily
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
CVE-2016-4627: Ju Zhu da Trend Micro
IOHIDFamily
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4626: Stefan Esser da SektionEins
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-1863: Ian Beer do Google Project Zero
CVE-2016-4653: Ju Zhu da Trend Micro
CVE-2016-4582: Shrek_wzw e Proteas da Qihoo 360 Nirvan Team
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode causar uma negação de serviço do sistema
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) do KeenLab (@keen_lab), Tencent
libxml2
Disponível para: Apple TV (4ª geração)
Impacto: analisar um documento XML criado com códigos maliciosos pode levar à divulgação das informações do usuário
Descrição: havia um problema de acesso na análise de arquivos XML criados com códigos maliciosos. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4449: Kostya Serebryany
libxml2
Disponível para: Apple TV (4ª geração)
Impacto: várias vulnerabilidades no libxml2
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-4447: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxslt
Disponível para: Apple TV (4ª geração)
Impacto: diversas vulnerabilidades no libxslt
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Perfis de área restrita
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo local pode ter acesso à lista de projetos
Descrição: havia um problema de acesso com chamadas de API privilegiadas. Esse problema foi resolvido por meio de restrições adicionais.
CVE-2016-4594: Stefan Esser da SektionEins
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4586: Apple
CVE-2016-4588: Apple
CVE-2016-4589: Tongbo Luo e Bo Qu da Palo Alto Networks
CVE-2016-4622: Samuel Gross em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode divulgar dados de imagem de outros sites
Descrição: havia um problema de tempo no processamento de SVG. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2016-4583: Roeland Krak
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de inicialização de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4587: Apple
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode levar ao vazamento de dados confidenciais
Descrição: havia um problema de permissões no processamento da variável de localização. Isso foi resolvido por meio da adição de outras verificações de propriedade.
CVE-2016-4591: ma.la da LINE Corporation
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar em uma negação de serviço do sistema
Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.
CVE-2016-4592: Mikhail
Carregamento de página do WebKit
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária
de códigos
Descrição: vários problemas de memória corrompida foram resolvidos
por meio de melhorias no processamento da memória.
CVE-2016-4584: Chris Vienneau
Carregamento de página do WebKit
Disponível para: Apple TV (4ª geração)
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: havia um problema de transmissão de script entre sites no redirecionamento de URL do Safari. Esse problema foi resolvido por meio de melhorias na validação de URLs nos redirecionamentos.
CVE-2016-4585: Takeshi Terada da Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.