Sobre o conteúdo de segurança do Apple TV 7.2.1

Este documento descreve o conteúdo de segurança do Apple TV 7.2.1.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

Apple TV 7.2.1

  • bootp

    Disponível para: Apple TV (3ª geração)

    Impacto: uma rede Wi-Fi mal-intencionada pode ser capaz de identificar redes nas quais um dispositivo foi anteriormente acessado

    Descrição: ao se conectar a uma rede Wi-Fi, o iOS pode ter que transmitir endereços MAC de redes anteriormente acessadas por meio do protocolo DNAv4. Esse problema foi solucionado por meio da desativação do DNAv4 em redes Wi-Fi não criptografadas.

    ID de CVE

    CVE-2015-3778: Piers O'Hanlon, da Oxford Internet Institute, Universidade de Oxford (do projeto EPSRC Being There)

  • CloudKit

    Disponível para: Apple TV (3ª geração)

    Impacto: um aplicativo malicioso pode acessar o registro de usuário do iCloud de um usuário que iniciou uma sessão anteriormente

    Descrição: havia uma inconsistência de estado no CloudKit ao encerrar a sessão de usuários. Esse problema foi resolvido por meio da melhoria do processamento de estado.

    ID de CVE

    CVE-2015-3782: Deepkanwal Plaha, da Universidade de Toronto

  • CFPreferences

    Disponível para: Apple TV (3ª geração)

    Impacto: um app malicioso pode ler as preferências gerenciadas de outros apps

    Descrição: havia um problema na área de proteção de apps de terceiros. Este problema foi resolvido ao aprimorar o perfil da área de proteção de terceiros.

    ID de CVE

    CVE-2015-3793: Andreas Weinlein, da equipe Appthority Mobility Threat

  • Assinatura de código

    Disponível para: Apple TV (3ª geração)

    Impacto: um aplicativo malicioso pode conseguir executar códigos não assinados

    Descrição: havia um problema que permitia que um código não assinado fosse adicionado à assinatura de código em um arquivo executável especialmente criado. Esse problema foi resolvido por meio da melhoria da validação da assinatura do código.

    ID de CVE

    CVE-2015-3806: Equipe TaiG Jailbreak

  • Assinatura de código

    Disponível para: Apple TV (3ª geração)

    Impacto: um arquivo executável especialmente criado pode permitir a execução de códigos maliciosos e não assinados

    Descrição: havia um problema no modo como arquivos executáveis multiarquitetura eram avaliados que poderia ter permitido a execução de códigos não assinados. Esse problema foi solucionado por meio de melhorias na validação de arquivos executáveis.

    ID de CVE

    CVE-2015-3803: Equipe TaiG Jailbreak

  • Assinatura de código

    Disponível para: Apple TV (3ª geração)

    Impacto: um usuário local pode conseguir executar um código não assinado

    Descrição: havia um problema de validação no processamento de arquivos Mach-O. Isso foi solucionado por meio de verificações adicionais.

    ID de CVE

    CVE-2015-3802: Equipe TaiG Jailbreak

    CVE-2015-3805: Equipe TaiG Jailbreak

  • CoreMedia Playback

    Disponível para: Apple TV (3ª geração)

    Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no CoreMedia Playback. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponível para: Apple TV (3ª geração)

    Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5755: John Villamil (@day6reak), da equipe Yahoo Pentest 

    CVE-2015-5761: John Villamil (@day6reak), da equipe Yahoo Pentest

  • DiskImages

    Disponível para: Apple TV (3ª geração)

    Impacto: o processamento de um arquivo de DMG criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um problema de memória corrompida na análise de imagens DMG inválidas. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3800: Frank Graziano, da equipe Yahoo Pentest

  • FontParser

    Disponível para: Apple TV (3ª geração)

    Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), da equipe Yahoo Pentest

    CVE-2015-5775: Apple

  • ImageIO

    Disponível para: Apple TV (3ª geração)

    Impacto: processar um arquivo .tiff criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de corrompimento de memória no processamento de arquivos .tiff. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponível para: Apple TV (3ª geração)

    Impacto: analisar conteúdo da web criado com códigos maliciosos pode resultar na divulgação da memória de processamento

    Descrição: havia um problema de acesso à memória não inicializada no processamento de imagens PNG da ImageIO. Esse problema foi solucionado por meio de melhorias na inicialização de memória e na validação adicional de imagens PNG.

    ID de CVE

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Disponível para: Apple TV (3ª geração)

    Impacto: analisar conteúdo da web criado com códigos maliciosos pode resultar na divulgação da memória de processamento

    Descrição: havia um problema de acesso à memória não inicializada no processamento de imagens TIFF da ImageIO. Esse problema foi solucionado por meio de melhorias na inicialização de memória e na validação adicional de imagens TIFF.

    ID de CVE

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Disponível para: Apple TV (3ª geração)

    Impacto: analisar um plist criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos com privilégios de sistema

    Descrição: havia um corrompimento de memória no processamento de plists inválidos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3776: Teddy Reed, da Facebook Security, Patrick Stein, (@jollyjinx) da Jinx Germany

  • IOHIDFamily

    Disponível para: Apple TV (3ª geração)

    Impacto: um usuário local pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um estouro de buffer em IOHIDFamily. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5774: Equipe TaiG Jailbreak

  • Kernel

    Disponível para: Apple TV (3ª geração)

    Impacto: um aplicativo malicioso pode configurar o layout de memória do kernel

    Descrição: havia um problema na interface mach_port_space_info que podia levar à divulgação do layout de memória do kernel. Isso foi resolvido desativando a interface mach_port_space_info.

    ID de CVE

    CVE-2015-3766: Cererdlong, da equipe Alibaba Mobile Security, @PanguTeam

  • Kernel

    Disponível para: Apple TV (3ª geração)

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um estouro de inteiros durante o processamento de funções IOKit. Esse problema foi solucionado pela validação adicional de argumentos da API IOKit.

    ID de CVE

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    Disponível para: Apple TV (3ª geração)

    Impacto: o processamento de uma expressão regular criada com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida na biblioteca TRE. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3796: Ian Beer, da Google Project Zero

    CVE-2015-3797: Ian Beer, da Google Project Zero

    CVE-2015-3798: Ian Beer, da Google Project Zero

  • Libinfo

    Disponível para: Apple TV (3ª geração)

    Impacto: um invasor externo pode conseguir causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de soquetes AF_INET6. Esse problema foi resolvido por meio de melhorias no gerenciamento de memória.

    ID de CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponível para: Apple TV (3ª geração)

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de memória corrompida no processamento de syscalls. Esse problema foi solucionado por meio da melhoria da verificação de estado bloqueado.

    ID de CVE

    CVE-2015-5757: Lufeng Li, da Qihoo 360

  • libxml2

    Disponível para: Apple TV (3ª geração)

    Impacto: processar um documento XML criado com códigos maliciosos pode levar à divulgação de informações do usuário

    Descrição: havia um problema de memória corrompida na análise de arquivos XML. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Disponível para: Apple TV (3ª geração)

    Impacto: havia diversas vulnerabilidades nas versões da libxml2 anteriores à 2.9.2, sendo a mais grave a que podia permitir a um invasor externo causar uma negação de serviço

    Descrição: havia diversas vulnerabilidades nas versões da libxml2 anteriores à 2.9.2 que foram solucionadas com a atualização para a versão 2.9.2 da libxml2.

    ID de CVE

    CVE-2012-6685: Felix Groebert, do Google

    CVE-2014-0191: Felix Groebert, do Google

    CVE-2014-3660: Felix Groebert, do Google

  • libxpc

    Disponível para: Apple TV (3ª geração)

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente com privilégios de sistema

    Descrição: havia um problema de memória corrompida no processamento de mensagens de XPC inválidas. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-3795: Mathew Rowley

  • libxslt

    Disponível para: Apple TV (4ª geração)

    Impacto: o processamento de conteúdo XML desenvolvido com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia um problema de confusão de tipos no libxslt. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-7995: puzzor

  • Estrutura de localização

    Disponível para: Apple TV (3ª geração)

    Impacto: um usuário local pode modificar partes protegidas do sistema de arquivos

    Descrição: um problema de link simbólico foi solucionado por meio de melhorias na validação de caminho.

    ID de CVE

    CVE-2015-3759: Cererdlong, da equipe Alibaba Mobile Security

  • Visualizador do Office

    Disponível para: Apple TV (3ª geração)

    Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode levar à divulgação de informações do usuário

    Descrição: havia um problema de referência à entidade externa na análise do arquivo XML. Esse problema foi solucionado por meio de melhorias na análise.

    ID de CVE

    CVE-2015-3784: Bruno Morisson, da INTEGRITY S.A. 

  • QL Office

    Disponível para: Apple TV (3ª geração)

    Impacto: a análise de um documento do Office criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida na análise de documentos do Office. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5773: Apple

  • Sandbox_profiles

    Disponível para: Apple TV (3ª geração)

    Impacto: um app malicioso pode conseguir ler as preferências gerenciadas de outros apps

    Descrição: havia um problema na área de proteção de apps de terceiros. Este problema foi resolvido ao aprimorar o perfil da área de proteção de terceiros.

    ID de CVE

    CVE-2015-5749: Andreas Weinlein, da Equipe Appthority Mobility Threat

  • WebKit

    Disponível para: Apple TV (3ª geração)

    Impacto: processar conteúdo da web criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Disponível para: Apple TV (3ª geração)

    Impacto: conteúdo da web criado com códigos maliciosos pode retirar dados de imagem de origem cruzada

    Descrição: imagens obtidas por meio de URLs que redirecionavam para um recurso dados:imagem poderiam ter sido extraídas de maneira cruzada. Esse problema foi solucionado por meio de melhorias no rastreamento de tela escurecida.

    ID de CVE

    CVE-2015-3753: Antonio Sanso e Damien Antipa, da Adobe

  • WebKit

    Disponível para: Apple TV (3ª geração)

    Impacto: conteúdo da web criado com códigos maliciosos pode acionar solicitações de texto simples para uma origem em HTTP Strict Transport Security

    Descrição: existia um problema no qual as solicitações do relatório da política de segurança de conteúdo não honravam o Strict Transport Security do HTTP (HSTS). O problema foi solucionado aplicando HSTS para CSP.

    ID de CVE

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponível para: Apple TV (3ª geração)

    Impacto: as solicitações de relatórios da política de segurança de conteúdo podem permitir o vazamento de cookies

    Descrição: havia dois problemas no modo como os cookies eram adicionados às solicitações de relatórios da política de segurança de conteúdo. Os cookies eram enviados em solicitações de relatório de maneira cruzada, violando o padrão. Os cookies definidos durante a navegação normal eram enviados em navegação privada. Esses problemas foram solucionados por meio de melhorias no processamento de cookies.

    ID de CVE

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponível para: Apple TV (3ª geração)

    Impacto: o carregamento de imagens pode violar uma diretiva da política de segurança de conteúdo de um site

    Descrição: havia um problema no qual processar conteúdo da web com controles de vídeo carregava imagens aninhadas em elementos de objetos, violando a diretiva da política de segurança de conteúdo. Esse problema foi solucionado por meio de melhorias na imposição da política de segurança de conteúdo.

    ID de CVE

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: