Sobre o conteúdo de segurança da Atualização de Software 4.4 da Apple TV

Este documento descreve o conteúdo de segurança da Atualização de Software 4.4 da Apple TV.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de segurança da Apple.

Atualização de Software 4.4 da Apple TV

  • Apple TV

    Disponível para: Apple TV 4.0 a 4.3

    Impacto: um invasor com posição de rede privilegiada pode interceptar credenciais de usuário ou outras informações confidenciais

    Descrição: certificados fraudulentos foram emitidos por várias autoridades de certificação operadas pela DigiNotar. Esse problema foi resolvido removendo DigiNotar da lista de certificados raiz confiáveis, da lista de autoridades de certificados de Validação Ampliada (EV), e configurando os ajustes confiáveis do sistema padrão para que os certificados da DigiNotar, incluindo os certificados emitidos por outras autoridades, não sejam confiáveis.

  • Apple TV

    Disponível para: Apple TV 4.0 a 4.3

    Impacto: a compatibilidade com certificados X.509 com hashes MD5 pode expor usuários a spoofing e à divulgação de informações à medida que os ataques forem aprimorados

    Descrição: certificados assinados usando o algoritmo hash MD5 eram aceitos pelo iOS. Esse algoritmo tem vulnerabilidades criptográficas conhecidas. Pesquisa adicional ou uma autoridade de certificação configurada incorretamente poderiam permitir a criação de certificados X.509 com valores controlados pelo invasor que seriam confiáveis pelo sistema. Isso poderia expor protocolos com base em X.509 a spoofing, ataques "man in the middle" e divulgação de informações. Essa atualização desativa a compatibilidade com um certificado X.509 com um hash MD5 para qualquer uso que não seja um certificado raiz confiável.

    CVE-ID

    CVE-2011-3427

  • Apple TV

    Disponível para: Apple TV 4.0 a 4.3

    Impacto: um invasor poderia descriptografar parte de uma conexão SSL

    Descrição: somente as versões SSLv3 e TLS 1.0 de SSL eram compatíveis. Essas versões estão sujeitas à vulnerabilidade de protocolo ao usar cifras de bloco. Um invasor do tipo "man in the middle" poderia ter injetado dados inválidos, causando o encerramento da conexão, mas revelando algumas informações sobre os dados anteriores. Se a mesma conexão tivesse sido tentada repetidamente, o invasor poderia ter conseguido descriptografar os dados sendo enviados, como uma senha. Esse problema foi resolvido adicionando compatibilidade para TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Apple TV

    Disponível para: Apple TV 4.0 a 4.3

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer de pilha no processamento do libTIFF de imagens TIFF codificadas por grupo 4 CCITT.

    CVE-ID

    CVE-2011-0192: Apple

  • Apple TV

    Disponível para: Apple TV 4.0 a 4.3

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: havia um estouro de buffer de pilha no processamento de ImageIO de imagens TIFF codificadas por grupo 4 CCITT.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX da Tessi Technologies

  • Apple TV

    Disponível para: Apple TV 4.0 a 4.3

    Impacto: um invasor remoto poderia causar a redefinição de um dispositivo

    Descrição: o kernel falhou em reivindicar prontamente memória de conexões TCP incompletas. Um invasor com a capacidade de conexão a um serviço de escuta em um dispositivo iOS poderia esgotar recursos do sistema.

    CVE-ID

    CVE-2011-3259: Wouter van der Veer da Topicus I&I e Josh Enders

  • Apple TV

    Disponível para: Apple TV 4.0 a 4.3

    Impacto: um invasor em uma posição de rede privilegiada poderia causar a execução arbitrária de código ou o encerramento inesperado de aplicativos

    Descrição: havia estouro de buffer de pilha de um byte no processamento de dados XML por libxml.

    CVE-ID

    CVE-2011-0216: Billy Rios da Google Security Team

  • Apple TV

    Disponível para: Apple TV 4.0 a 4.3

    Impacto: um invasor em uma posição de rede privilegiada poderia causar a execução arbitrária de código ou o encerramento inesperado de aplicativos

    Descrição: havia vários problemas de corrupção de memória no JavaScriptCore.

    CVE-ID

    CVE-2011-3232: Aki Helin da OUSPG

Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: