Sobre o conteúdo de segurança da Apple TV 7

Este documento descreve o conteúdo de segurança da Apple TV 7.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para saber informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.

Apple TV 7

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um invasor pode obter credenciais de Wi-Fi

    Descrição: um invasor podia falsificar o ponto de acesso Wi-Fi, oferecer a autenticação com LEAP, quebrar o hash MS-CHAPv1 e usar as credenciais derivadas para autenticar o ponto de acesso pretendido, mesmo se tal ponto de acesso tivesse métodos de autenticação mais potentes. O problema foi resolvido por meio da remoção do suporte a LEAP.

    ID de CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte da Universiteit Hasselt

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um invasor com acesso a um dispositivo poderia acessar informações confidenciais do usuário nos registros

    Descrição: informações confidenciais do usuário eram salvas nos registros. O problema foi resolvido por meio do registro de menos informações.

    ID de CVE

    CVE-2014-4357: Heli Myllykoski do OP-Pohjola Group

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um invasor em uma posição de rede privilegiada poderia fazer um dispositivo acreditar estar atualizado, mesmo não estando

    Descrição: havia um problema de validação no processamento das respostas de verificação da atualização. Datas falsas nos cabeçalhos de resposta de Última modificação definidos para datas futuras eram usadas para verificações de Modificado desde nas solicitações de atualizações subsequentes. O problema foi resolvido por meio da validação do cabeçalho de Última modificação.

    ID de CVE

    CVE-2014-4383: Raul Siles da DinoSec

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: abrir um arquivo PDF criado com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de estouro de inteiros durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: abrir um arquivo PDF criado com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a divulgação de informações

    Descrição: ocorria um problema de leitura de memória fora dos limites durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em parceria com o Programa GVP da iSIGHT Partners

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo poderia causar o encerramento inesperado do sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOAcceleratorFamily. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOAcceleratorFamily.

    ID de CVE

    CVE-2014-4369: Sarah, também conhecida como winocm, e Cererdlong da Alibaba Mobile Security Team

    Entrada adicionada em 3 de fevereiro de 2020
  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: o dispositivo poderia reiniciar inesperadamente

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no driver IntelAccelerator. O problema foi resolvido por meio de melhorias no processamento de erros.

    ID de CVE

    CVE-2014-4373: cunzhang do Adlab da Venustech

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode ler ponteiros de kernel, que podiam ser usados para ignorar a randomização de layout do espaço de endereço de kernel

    Descrição: havia um problema de leitura fora dos limites no processamento de uma função do IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4379: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de estouro de buffer de pilha no processamento de propriedades de mapeamento de chave do IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4404: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento das propriedades de mapeamento de chave no IOHIDFamily. O problema foi resolvido por meio de melhorias na validação das propriedades de mapeamento de chave do IOHIDFamily.

    ID de CVE

    CVE-2014-4405: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de gravação fora dos limites na extensão do kernel de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4380: cunzhang do Adlab da Venustech

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode ler dados não inicializados da memória do kernel

    Descrição: havia um problema de acesso à memória não inicializada durante o processamento das funções de IOKit. O problema foi resolvido por meio de melhorias na inicialização da memória

    ID de CVE

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-4418: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. O problema foi resolvido por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de estouro de inteiros durante o processamento das funções de IOKit. O problema foi resolvido por meio de melhorias na validação de argumentos da API IOKit.

    ID de CVE

    CVE-2014-4389: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um usuário local pode definir o layout de memória do kernel

    Descrição: havia diversos problemas de memória não inicializada na interface de estatísticas de rede, que levavam à divulgação do conteúdo da memória do kernel. O problema foi resolvido por meio de uma inicialização adicional da memória.

    ID de CVE

    CVE-2014-4371: Fermin J. Serna da Google Security Team

    CVE-2014-4419: Fermin J. Serna da Google Security Team

    CVE-2014-4420: Fermin J. Serna da Google Security Team

    CVE-2014-4421: Fermin J. Serna da Google Security Team

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: uma pessoa em uma posição de rede privilegiada poderia causar uma negação de serviço

    Descrição: havia um problema de condição de corrida no processamento de pacotes IPv6. O problema foi resolvido por meio de melhorias na verificação de estado bloqueado.

    ID de CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um usuário local pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

    Descrição: havia um problema do tipo "double free" durante o processamento de portas de Mach. O problema foi resolvido por meio de melhorias na validação de portas de Mach.

    ID de CVE

    CVE-2014-4375

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um usuário local pode causar o encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

    Descrição: havia um problema de leitura fora dos limites no rt_setgate. Isso podia levar à divulgação de memória ou ao corrompimento dela. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4408

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: algumas medidas de proteção de kernel poderiam ser ignoradas

    Descrição: o gerador de número aleatório "early" (inicial) usado em algumas medidas de proteção de kernel não era seguro em termos de criptografia, e parte dos resultados ficava exposto no espaço do usuário, permitindo ignorar medidas de proteção. O problema foi resolvido pela substituição do gerador de número aleatório por um algoritmo seguro em termos de criptografia e uso de um seed de 16 bytes.

    ID de CVE

    CVE-2014-4422: Tarjei Mandt da Azimuth Security

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios raiz

    Descrição: havia um problema de gravação fora dos limites no Libnotify. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4381: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um usuário local pode alterar permissões de arquivos arbitrários

    Descrição: o syslogd seguia links simbólicos enquanto alterava permissões em arquivos. O problema foi resolvido por meio de melhorias no processamento de links simbólicos.

    ID de CVE

    CVE-2014-4372: Tielei Wang e YeongJin Jang da Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Disponível para: Apple TV (3ª geração) e posterior

    Impacto: um invasor em uma posição de rede privilegiada poderia causar a execução arbitrária de código ou o encerramento inesperado de aplicativos

    Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2013-6663: Atte Kettunen da OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Google Chrome Security Team

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel do Google

    CVE-2014-4411: Google Chrome Security Team

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: