Sobre o conteúdo de segurança do Apple TV 6.1

Este documento descreve o conteúdo de segurança do Apple TV 6.1.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple."

Apple TV 6.1

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: um invasor com acesso a um Apple TV pode acessar informações confidenciais do usuário a partir de registros

    Descrição: informações confidenciais do usuário eram registradas. Esse problema foi resolvido com o registro de menos informações.

    ID de CVE

    CVE-2014-1279: David Schuetz trabalhando no Intrepidus Group

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: as datas de expiração não foram honradas

    Descrição: as datas de expiração de perfis de configurações móveis não foram avaliadas corretamente. O problema foi resolvido através do processamento aprimorado de perfis de configuração.

    ID de CVE

    CVE-2014-1267

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: um aplicativo mal-intencionado podia provocar um encerramento inesperado no sistema

    Descrição: havia um problema de asserção acessível no processamento de chamadas da API IOKit do CoreCapture. O problema foi resolvido através de validação adicional de entrada de IOKit.

    ID de CVE

    CVE-2014-1271: Filippo Bigarella

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: um usuário local pode alterar permissões sobre arquivos arbitrários

    Descrição: o CrashHouseKeeping seguia links simbólicos ao alterar permissões em arquivos. Esse problema foi resolvido pelo não seguimento de links simbólicos ao alterar permissões em arquivos.

    ID de CVE

    CVE-2014-1272: evad3rs

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: requisitos de assinatura de código podiam ser ignorados

    Descrição: instruções de nova localização de texto em bibliotecas dinâmicas podiam ser carregadas por dyld sem validação de assinatura de código. Esse problema foi resolvido ao ignorar instruções de nova localização de texto.

    ID de CVE

    CVE-2014-1273: evad3rs

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: a visualização de um arquivo de PDF criado com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: havia um estouro de buffer no processamento de imagens JPEG2000 em arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1275: Felix Groebert da Equipe de Segurança do Google

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: a visualização de uma imagem TIFF criada com códigos mal-intencionados pode levar ao encerramento inesperado de aplicativos ou à execução de códigos arbitrários

    Descrição: ocorria um estouro de buffer no processamento de imagens TIFF pelo libtiff. Esse problema foi solucionado através de validação adicional de imagens TIFF.

    ID de CVE

    CVE-2012-2088

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: a visualização de um arquivo JPEG criado com códigos mal-intencionados pode levar à divulgação de conteúdo da memória

    Descrição: havia um problema de acesso de memória não inicializada no processamento de libjpeg de marcadores JPEG, resultando na divulgação de conteúdo da memória. Esse problema foi resolvido através de validação adicional de arquivos JPEG.

    ID de CVE

    CVE-2013-6629: Michal Zalewski

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

    Descrição: havia um problema de acesso à memória fora dos limites na função ARM ptmx_get_ioctl. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-1278: evad3rs

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: um perfil de configuração pode estar oculto para o usuário

    Descrição: um perfil de configuração com um nome longo poderia ser carregado no dispositivo, mas não exibido na interface do usuário do perfil. Esse problema foi resolvido através do processamento aprimorado de nomes de perfil.

    ID de CVE

    CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani da Skycure

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: uma pessoa com acesso físico ao dispositivo podia ser capaz de causar execução arbitrária de código em modo kernel

    Descrição: ocorria um problema de corrupção de memória durante o processamento de mensagens USB. Esse problema foi resolvido através da validação adicional de mensagens USB.

    ID de CVE

    CVE-2014-1287: Andy Davis do NCC Group

  • WebKit

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2013-2909: Atte Kettunen da OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: Equipe de Segurança do Google Chrome

    CVE-2013-5196: Equipe de Segurança do Google Chrome

    CVE-2013-5197: Equipe de Segurança do Google Chrome

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: Equipe de Segurança do Google Chrome

    CVE-2013-5228: Keen Team (@K33nTeam) trabalhando na Zero Day Initiative da HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) que trabalha com a Zero Day Initiative da HP, Equipe de Segurança do Google Chrome

    CVE-2014-1291: Equipe de Segurança do Google Chrome

    CVE-2014-1292: Equipe de Segurança do Google Chrome

    CVE-2014-1293: Equipe de Segurança do Google Chrome

    CVE-2014-1294: Equipe de Segurança do Google Chrome

  • Apple TV

    Disponível para: Apple TV (2ª geração e versões posteriores)

    Impacto: reproduzir um vídeo criado com más intenções poderia fazer com que o dispositivo não respondesse

    Descrição: havia um problema de cancelamento de referência nula no processamento de arquivos MPEG-4 codificados. Esse problema foi resolvido por meio de um gerenciamento aprimorado da memória.

    ID de CVE

    CVE-2014-1280: rg0rd

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: