Sobre o conteúdo de segurança do tvOS 9.1
Este documento descreve o conteúdo de segurança do tvOS 9.1.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do Produto Apple, consulte o site sobre segurança do produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
tvOS 9.1
AppleMobileFileIntegrity
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: um problema de controle de acesso foi resolvido ao evitar a modificação das estruturas de controle de acesso.
ID de CVE
CVE-2015-7055: Apple
Compressão
Disponível para: Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de acesso à memória não inicializada no zlib. Esse problema foi resolvido por meio de melhorias na inicialização da memória e na validação adicional de fluxos de zlib.
ID de CVE
CVE-2015-7054: j00ru
CoreGraphics
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na validação de entrada.
ID de CVE
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
CoreMedia Playback
Disponível para: Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de mídia inválidos. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7074
CVE-2015-7075: Apple
Imagens de disco
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: havia um problema de corrupção de memória na análise de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7110: Ian Beer do Google Project Zero
dyld
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia vários problemas de validação de segmento no dyld. Esses problemas foram resolvidos por meio de melhorias na limpeza do ambiente.
ID de CVE
CVE-2015-7072: Apple
CVE-2015-7079: PanguTeam
ImageIO
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no ImageIO. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7053: Apple
IOAcceleratorFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de corrupção de memória no IOAcceleratorFamily. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7109: Juwei Lin da TrendMicro
IOHIDFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia vários problemas de corrupção de memória no API IOHIDFamily. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7111: beist e ABH da BoB
CVE-2015-7112: Ian Beer do Google Project Zero
IOKit SCSI
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo com código malicioso pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de determinados tipos de userclient. Esse problema foi resolvido por meio de melhorias na validação.
ID de CVE
CVE-2015-7068: Ian Beer do Google Project Zero
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo local pode causar uma negação de serviço
Descrição: vários problemas de negação de serviço foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7040: Lufeng Li da Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li da Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li da Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: havia vários problemas de corrupção de memória no kernel. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7083: Ian Beer do Google Project Zero
CVE-2015-7084: Ian Beer do Google Project Zero
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: havia um problema na análise de mensagens mach. Esse problema foi resolvido por meio de melhorias na validação de mensagens mach.
ID de CVE
CVE-2015-7047: Ian Beer do Google Project Zero
libarchive
Disponível para: Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de arquivos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2011-2895: @practicalswift
libc
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de um pacote criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários estouros de buffer na biblioteca padrão C. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-7038: Brian D. Wells de E. W. Scripps; Narayan Subramanian da Symantec Corporation/Veritas LLC
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Entrada atualizada em 3 de março de 2017
libxml2
Disponível para: Apple TV (4ª geração)
Impacto: analisar um documento XML criado com códigos maliciosos pode levar à divulgação das informações do usuário
Descrição: havia um problema de corrupção de memória na análise de arquivos XML. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7115: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2015-7116: Wei Lei e Liu Yang da Nanyang Technological University
MobileStorageMounter
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de tempo no carregamento do cache confiável. Esse problema foi resolvido ao validar o ambiente do sistema antes de carregar o cache de confiança.
ID de CVE
CVE-2015-7051: PanguTeam
OpenGL
Disponível para: Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no OpenGL. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7064: Apple
CVE-2015-7065: Apple
Segurança
Disponível para: Apple TV (4ª geração)
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de handshake de SSL. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7073: Benoit Foucher da ZeroC, Inc.
Segurança
Disponível para: Apple TV (4ª geração)
Impacto: o processamento de um certificado criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no decodificador ASN.1. Esses problemas foram resolvidos por meio de melhorias na validação de entrada
ID de CVE
CVE-2015-7059: David Keeler da Mozilla
CVE-2015-7060: Tyson Smith da Mozilla
CVE-2015-7061: Ryan Sleevi da Google
Segurança
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo com código malicioso pode obter acesso aos itens das Chaves de um usuário
Descrição: havia um problema na validação das listas de controle de acesso de itens das Chaves. Esse problema foi resolvido por meio de melhorias na verificação das listas de controle de acesso.
ID de CVE
CVE-2015-7058
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no WebKit. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7048: Apple
CVE-2015-7095: Apple
CVE-2015-7096: Apple
CVE-2015-7097: Apple
CVE-2015-7098: Apple
CVE-2015-7099: Apple
CVE-2015-7100: Apple
CVE-2015-7101: Apple
CVE-2015-7102: Apple
CVE-2015-7103: Apple
CVE-2015-7104: Apple
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no OpenGL. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7066: Tongbo Luo e Bo Qu da Palo Alto Networks
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.