Sobre o conteúdo de segurança do Apple TV 7.0.3

Este documento descreve o conteúdo de segurança do Apple TV 7.0.3.

Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

Apple TV 7.0.3

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um comando afc criado com códigos mal-intencionados pode permitir acesso a partes protegidas do sistema de arquivos

    Descrição: existia uma vulnerabilidade no mecanismo de ligação simbólica do afc. Esse problema foi resolvido por meio da adição de mais verificações de caminho.

    ID de CVE

    CVE-2014-4480 : TaiG Jailbreak Team

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: abrir um arquivo PDF criado com códigos mal-intencionados pode causar o encerramento inesperado do aplicativo ou a execução de códigos arbitrários

    Descrição: ocorria um estouro de inteiros durante o processamento de arquivos PDF. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4481 : Felipe Andres Manzano da Binamuse VRT, por meio do Programa iSIGHT Partners GVP

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um usuário local pode executar código não assinado

    Descrição: havia um problema de gerenciamento de estado no processamento de arquivos executáveis Mach-O com segmentos sobrepostos. Esse problema foi solucionado por meio de melhorias na validação de tamanhos de segmentos

    ID de CVE

    CVE-2014-4455 : TaiG Jailbreak Team

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: abrir um arquivo PDF criado com códigos mal-intencionados pode causar o encerramento inesperado do aplicativo ou a execução de códigos arbitrários

    Descrição: ocorria um estouro de buffer ao processar arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4483 : Apple

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: o processamento de um arquivo .dfont criado com códigos mal-intencionados podia levar ao encerramento inesperado de um aplicativo ou à execução de códigos arbitrários

    Descrição: ocorria um problema de corrupção de memória durante o processamento de arquivos .dfont. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4484 : Gaurav Baruah em parceria com a Zero Day Initiative da HP

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: a visualização de um arquivo XML criado com códigos mal-intencionados podia levar a um encerramento inesperado de um aplicativo ou à execução de códigos arbitrários

    Descrição: ocorria um estouro de buffer no analisador do XML. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2014-4485 : Apple

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo quando o IOAcceleratorFamily processava listas de recursos. Esse problema foi resolvido por meio da remoção de códigos desnecessários.

    ID de CVE

    CVE-2014-4486 : Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema

    Descrição: ocorria um estouro de buffer no IOHIDFamily. Esse problema foi resolvido por meio da melhoria da validação de tamanhos.

    ID de CVE

    CVE-2014-4487 : TaiG Jailbreak Team

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de validação quando o IOHIDFamily processava metadados da fila de recurso. Esse problema foi solucionado por meio de melhorias na validação de metadados.

    ID de CVE

    CVE-2014-4488 : Apple

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de cancelamento de referência de ponteiro nulo quando o IOHIDFamily processava filas de evento. Esse problema foi resolvido por meio da melhoria da validação.

    ID de CVE

    CVE-2014-4489 : @beist

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: aplicativos do iOS comprometidos ou criados com códigos mal-intencionados podem determinar endereços no kernel

    Descrição: havia um problema de divulgação de informações no processamento de APIs relacionadas a extensões de kernel. Respostas com uma chave OSBundleMachOHeaders podem ter incluído endereços kernel, que podem contribuir para ignorar a proteção da randomização de layout do espaço de endereço. Esse problema foi resolvido travando os endereços antes de retorná-los.

    ID de CVE

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema no subsistema de memória compartilhada do kernel que permitia a um invasor escrever na memória que seria estabelecida somente para leitura. Esse problema foi resolvido por meio de uma verificação mais rigorosa das permissões de memória compartilhada.

    ID de CVE

    CVE-2014-4495 : Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: aplicativos do iOS comprometidos ou criados com códigos mal-intencionados podem determinar endereços no kernel

    Descrição: a interface do kernel mach_port_kobject deixava vazar endereços kernel e valores de permutação do heap, o que poderia contribuir para ignorar a proteção da randomização de layout do espaço de endereço. Isso foi resolvido por meio da desativação da interface mach_port_kobject nas configurações de produção.

    ID de CVE

    CVE-2014-4496 : TaiG Jailbreak Team

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: um app isolado e mal-intencionado pode comprometer o daemon networkd

    Descrição: havia diversos problemas de confusão dos tipos quando o networkd processava a comunicação entre processos. Ao enviar uma mensagem formatada com códigos mal-intencionados para o networkd, era possível executar códigos arbitrários como o processo networkd. O problema foi resolvido por meio de verificações adicionais dos tipos.

    ID de CVE

    CVE-2014-4492 : Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: folhas de estilo são carregadas como sendo de origem cruzada, o que pode permitir a extração de dados

    Descrição: um SVG carregado em um elemento img podia carregar um arquivo CSS de origem cruzada. Esse problema foi resolvido por meio da melhoria do bloqueio de referências externas de CSS em SVGs.

    ID de CVE

    CVE-2014-4465 : Rennie deGraaf da iSEC Partners

  • Apple TV

    Disponível para: Apple TV 3ª geração e versões posteriores

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2014-3192 : cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466 : Apple

    CVE-2014-4468 : Apple

    CVE-2014-4469 : Apple

    CVE-2014-4470 : Apple

    CVE-2014-4471 : Apple

    CVE-2014-4472 : Apple

    CVE-2014-4473 : Apple

    CVE-2014-4474 : Apple

    CVE-2014-4475 : Apple

    CVE-2014-4476 : Apple

    CVE-2014-4477 : lokihardt@ASRT em parceria com a Zero Day Initiative da HP

    CVE-2014-4479 : Apple

  • Apple TV

    Disponível para: iPhone 4s e posterior, iPod touch (5ª geração e posterior), iPad 2 e posterior

    Impacto: um aplicativo com códigos mal-intencionados pode executar códigos arbitrários com privilégios de sistema

    Descrição: a biblioteca libgssapi do Kerberos retornava um token de contexto com um ponteiro pendente. Esse problema foi resolvido por meio da melhoria do gerenciamento de estado.

    ID de CVE

    CVE-2014-5352

  •  

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: