Sobre o conteúdo de segurança do Apple TV 7

Este documento descreve o conteúdo de segurança do Apple TV 7.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

Apple TV 7

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um invasor pode encontrar credenciais de Wi-Fi

    Descrição: um invasor poderia falsificar o ponto de acesso Wi-Fi, oferecer-se para autenticar com LEAP, quebrar o hash MS-CHAPv1 e usar as credenciais derivadas para autenticar o ponto de acesso pretendido, mesmo se esse ponto de acesso tivesse métodos de autenticação mais seguros. Esse problema foi resolvido ao remover o suporte para LEAP.

    ID de CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte, da Universiteit Hasselt

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um invasor com acesso a um dispositivo pode acessar informações confidenciais do usuário a partir dos registros

    Descrição: informações confidenciais do usuário eram salvas nos registros. Esse problema foi resolvido ao restringir as informações salvas em registros.

    ID de CVE

    CVE-2014-4357: Heli Myllykoski do OP-Pohjola Group

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um invasor em posição privilegiada pode conseguir fazer com que um dispositivo pareça estar atualizado quando não está

    Descrição: existia um problema de validação no manuseio das respostas de verificação da atualização. Datas falsas nos cabeçalhos de resposta de Última modificação definidos para datas futuras eram usadas para verificações de Modificado desde nas solicitações de atualizações subsequentes. Este problema foi resolvido pela validação do cabeçalho de Última modificação.

    ID de CVE

    CVE-2014-4383: Raul Siles, da DinoSec

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o fechamento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorria um estouro de inteiro durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4377: Felipe Andres Manzano, da Binamuse VRT, em colaboração com o Programa GVP, da iSIGHT Partners

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou divulgação de informações

    Descrição: ocorria um problema de leitura de memória fora dos limites durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4378: Felipe Andres Manzano, da Binamuse VRT, em colaboração com o Programa GVP, da iSIGHT Partners

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo pode causar um encerramento inesperado do sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de argumentos da API IOAcceleratorFamily. Esse problema foi solucionado ao aprimorar a validação de argumentos da IOAcceleratorFamily.

    ID de CVE

    CVE-2014-4369: Catherin, também conhecida como winocm, e Cererdlong, da Alibaba Mobile Security Team

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: o dispositivo pode reiniciar inesperadamente

    Descrição: havia um problema de cancelamento de referência de ponteiro NULO na unidade do IntelAccelerator. Esse problema foi solucionado por meio da melhoria do processamento de erros.

    ID de CVE

    CVE-2014-4373: cunzhang, da Adlab of Venustech

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo malicioso pode ler ponteiros de kernel, que podem ser usados para ignorar randomização de layout de espaço do endereço de kernel

    Descrição: havia um problema de leitura fora dos limites no processamento de uma função de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4379: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um estouro de buffer de pilha no processamento de IOHIDFamily das propriedades de mapeamento de chave. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4404: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia uma deferência de ponteiro nulo no processamento de IOHIDFamily das propriedades de mapeamento de chave. Este problema foi resolvido pela melhoria da validação das principais propriedades de mapeamento do IOHIDFamily.

    ID de CVE

    CVE-2014-4405: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de gravação fora dos limites na extensão do kernel de IOHIDFamily. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4380: cunzhang, da Adlab of Venustech

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo malicioso pode ler dados não inicializados da memória do kernel

    Descrição: havia um problema de acesso à memória não inicializada durante o processamento das funções de IOKit. Esse problema foi solucionado com a melhoria da inicialização da memória

    ID de CVE

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. Esse problema foi solucionado por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-4418: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos de IODataQueue. Esse problema foi solucionado por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

    Descrição: ocorria um estouro de inteiro durante o processamento das funções de IOKit. Esse problema foi solucionado pela melhoria da validação de argumentos da API IOKit.

    ID de CVE

    CVE-2014-4389: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um usuário local pode conseguir alterar o layout de memória do kernel.

    Descrição: existiam diversos problemas de memória não inicializada na interface de estatísticas de rede, que levavam à divulgação do conteúdo da memória de kernel. Esse problema foi solucionado por meio de uma inicialização adicional da memória.

    ID de CVE

    CVE-2014-4371: Fermin J. Serna, da Equipe de Segurança do Google

    CVE-2014-4419: Fermin J. Serna, da Equipe de Segurança do Google

    CVE-2014-4420: Fermin J. Serna, da Equipe de Segurança do Google

    CVE-2014-4421: Fermin J. Serna, da Equipe de Segurança do Google

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: uma pessoa com uma posição privilegiada na rede pode causar uma negação de serviço

    Descrição: um problema de condição de corrida existiu no processamento de pacotes IPv6. Esse problema foi solucionado por meio da melhoria da verificação de estado bloqueado.

    ID de CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

    Descrição: ocorria um problema do tipo "double free" durante o processamento de portas de Mach. Esse problema foi solucionado por meio de melhorias na validação de portas de Mach.

    ID de CVE

    CVE-2014-4375

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

    Descrição: um problema de leitura fora dos limites existia no rt_setgate. Isso pode levar à divulgação ou corrupção de memória. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4408

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: algumas medidas de fortalecimento de kernel podem ser ignoradas

    Descrição: o gerador de número aleatório 'early' (inicial) usado em algumas medidas de dificuldade de kernel não foi protegido criptograficamente e parte de sua saída foi exposta a espaço do usuário, permitindo ignorar algumas das medidas de dificuldade. Esse problema foi resolvido pela substituição do gerador de número aleatório com um algoritmo protegido criptograficamente e uso de um seed de 16 bytes.

    ID de CVE

    CVE-2014-4422: Tarjei Mandt, da Azimuth Security

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de raiz

    Descrição: existia um problema de gravação fora dos limites no Libnotify. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4381: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um usuário local pode alterar permissões sobre arquivos arbitrários

    Descrição: o syslogd seguia links simbólicos ao alterar permissões em arquivos. Esse problema foi solucionado por meio de melhorias no processamento de links simbólicos.

    ID de CVE

    CVE-2014-4372: Tielei Wang e YeongJin Jang, da Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um invasor com uma posição privilegiada na rede pode causar a execução arbitrária de código ou fechamento inesperado de aplicativos

    Descrição: havia diversos problemas de corrupção de memória no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2013-6663: Atte Kettunen, da OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: equipe de Segurança do Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel do Google

    CVE-2014-4411: equipe de segurança do Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: