Sobre o conteúdo de segurança do tvOS 9.2

Este documento descreve o conteúdo de segurança do tvOS 9.2.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

tvOS 9.2

  • FontParser

    Disponível para: Apple TV (4ª geração)

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1740: HappilyCoded (ant4g0nist e r3dsm0k3), que trabalha na Zero Day Initiative (ZDI) da Trend Micro

  • HTTPProtocol

    Disponível para: Apple TV (4ª geração)

    Impacto: um invasor externo pode executar um código arbitrário

    Descrição: havia diversas vulnerabilidades em versões do nghttp2 anteriores à 1.6.0. A mais séria delas pode ter levado à execução remota de códigos. Esses problemas foram solucionados com a atualização do nghttp2 para a versão 1.6.0.

    ID de CVE

    CVE-2015-8659

  • IOHIDFamily

    Disponível para: Apple TV (4ª geração)

    Impacto: um aplicativo pode configurar o layout de memória do kernel

    Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1748: Brandon Azad

  • Kernel

    Disponível para: Apple TV (4ª geração)

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: um problema do tipo "uso após livre" foi resolvido por meio de melhorias no gerenciamento de memória.

    ID de CVE

    CVE-2016-1750: CESG

  • Kernel

    Disponível para: Apple TV (4ª geração)

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: diversos estouros de inteiros foram resolvidos por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1753: Juwei Lin da Trend Micro em conjunto com a Zero Day Initiative (ZDI) da Trend Micro

  • Kernel

    Disponível para: Apple TV (4ª geração)

    Impacto: um aplicativo pode contornar a assinatura de códigos

    Descrição: ocorria um problema de permissões no qual uma permissão para execução era concedida de modo incorreto. Esse problema foi solucionado por meio de melhorias na validação de permissões.

    ID de CVE

    CVE-2016-1751: Eric Monti da Square Mobile Security

  • Kernel

    Disponível para: Apple TV (4ª geração)

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: diversos problemas de corrupção de memória foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1754: Lufeng Li da Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: Apple TV (4ª geração)

    Impacto: um aplicativo pode causar uma negação de serviço

    Descrição: um problema de negação de serviço foi solucionado por meio de melhorias na validação.

    ID de CVE

    CVE-2016-1752 : CESG

  • libxml2

    Disponível para: Apple TV (4ª geração)

    Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

    Descrição: diversos problemas de corrupção de memória foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-1819

    CVE-2015-5312: David Drysdale do Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany do Google

    CVE-2015-7942: Kostya Serebryany do Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1762

  • Segurança

    Disponível para: Apple TV (4ª geração)

    Impacto: o processamento de um certificado criado com códigos maliciosos pode causar a execução de códigos arbitrários

    Descrição: havia um problema de corrupção de memória no decodificador de ASN.1. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1950: Francis Gabriel da Quarkslab

  • TrueTypeScaler

    Disponível para: Apple TV (4ª geração)

    Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução de códigos arbitrários

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1775: 0x1byte, que trabalha na Zero Day Initiative (ZDI) da Trend Micro

  • WebKit

    Disponível para: Apple TV (4ª geração)

    Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode resultar na execução de códigos arbitrários

    Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1783: Mihai Parparita do Google

  • Histórico do WebKit

    Disponível para: Apple TV (4ª geração)

    Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode resultar em falha do Safari

    Descrição: um problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1784 : Moony Li e Jack Tang da TrendMicro e 李普君 da 无声信息技术PKAV Team (PKAV.net)

  • Wi-Fi

    Disponível para: Apple TV (4ª geração)

    Impacto: um invasor com uma posição de rede privilegiada pode executar códigos arbitrários

    Descrição: ocorria um problema de validação de quadros e corrupção de memória para um determinado ethertype. Esse problema foi resolvido por meio de validação de ethertype adicional e melhorias no processamento de memória.

    ID de CVE

    CVE-2016-0801: um pesquisador anônimo

    CVE-2016-0802: um pesquisador anônimo

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: