Sobre o conteúdo de segurança do tvOS 9.2.2

Este documento descreve o conteúdo de segurança do tvOS 9.2.2.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

tvOS 9.2.2

Lançado em 18 de julho de 2016

CFNetwork Credentials

Disponível para: Apple TV (4ª geração)

Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário

Descrição: havia um problema de downgrade com credenciais de autenticação HTTP salvas nas Chaves. Esse problema foi solucionado por meio do armazenamento dos tipos de autenticação com as credenciais.

CVE-2016-4644: Jerry Decime com coordenação do CERT

CFNetwork Proxies

Disponível para: Apple TV (4ª geração)

Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário

Descrição: havia um problema de validação na análise de 407 respostas. Esse problema foi solucionado por meio de melhorias na validação de respostas.

CVE-2016-4643: Xiaofeng Zheng da Blue Lotus Team, Tsinghua University; Jerry Decime com coordenação do CERT

CFNetwork Proxies

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode enviar involuntariamente uma senha sem criptografia pela rede

Descrição: uma autenticação de proxy informava que proxies HTTP recebiam credenciais com segurança. Esse problema foi solucionado por meio de melhorias nos avisos.

CVE-2016-4642: Jerry Decime com coordenação do CERT

CoreGraphics

Disponível para: Apple TV (4ª geração)

Impacto: um invasor remoto pode executar códigos arbitrários

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-4637: Tyler Bohan da Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Disponível para: Apple TV (4ª geração)

Impacto: um invasor remoto pode causar uma negação de serviço

Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.

CVE-2016-4632: Evgeny Sidorov da Yandex

ImageIO

Disponível para: Apple TV (4ª geração)

Impacto: um invasor remoto pode executar códigos arbitrários

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2016-4631: Tyler Bohan da Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Disponível para: Apple TV (4ª geração)

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7705: Craig Young da Tripwire VERT

Entrada adicionada em 30 de novembro de 2017

IOAcceleratorFamily

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.

CVE-2016-4627: Ju Zhu da Trend Micro

IOHIDFamily

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4626: Stefan Esser da SektionEins

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2016-1863: Ian Beer do Google Project Zero

CVE-2016-4653: Ju Zhu da Trend Micro

CVE-2016-4582: Shrek_wzw e Proteas da Qihoo 360 Nirvan Team

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode causar uma negação de serviço do sistema

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) do KeenLab (@keen_lab), Tencent

libxml2

Disponível para: Apple TV (4ª geração)

Impacto: analisar um documento XML criado com códigos maliciosos pode levar à divulgação das informações do usuário

Descrição: havia um problema de acesso na análise de arquivos XML criados com códigos maliciosos. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4449: Kostya Serebryany

libxml2

Disponível para: Apple TV (4ª geração)

Impacto: várias vulnerabilidades no libxml2

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University

CVE-2016-4447: Wei Lei e Liu Yang da Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Entrada atualizada em 5 de junho de 2017

libxslt

Disponível para: Apple TV (4ª geração)

Impacto: diversas vulnerabilidades no libxslt

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Entrada atualizada em 11 de abril de 2017

Perfis de área restrita

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo local pode ter acesso à lista de projetos

Descrição: havia um problema de acesso com chamadas de API privilegiadas. Esse problema foi resolvido por meio de restrições adicionais.

CVE-2016-4594: Stefan Esser da SektionEins

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2016-4586: Apple

CVE-2016-4588: Apple

CVE-2016-4589: Tongbo Luo e Bo Qu da Palo Alto Networks

CVE-2016-4622: Samuel Gross em parceria com a Zero Day Initiative da Trend Micro

CVE-2016-4623: Apple

CVE-2016-4624: Apple

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode divulgar dados de imagem de outros sites

Descrição: havia um problema de tempo no processamento de SVG. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2016-4583: Roeland Krak

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de inicialização de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-4587: Apple

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: acessar um site criado com códigos maliciosos pode levar ao vazamento de dados confidenciais

Descrição: havia um problema de permissões no processamento da variável de localização. Isso foi resolvido por meio da adição de outras verificações de propriedade.

CVE-2016-4591: ma.la da LINE Corporation

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar em uma negação de serviço do sistema

Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.

CVE-2016-4592: Mikhail

Carregamento de página do WebKit

Disponível para: Apple TV (4ª geração)

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária

de códigos

Descrição: vários problemas de memória corrompida foram resolvidos

por meio de melhorias no processamento da memória.

CVE-2016-4584: Chris Vienneau

Carregamento de página do WebKit

Disponível para: Apple TV (4ª geração)

Impacto: um site malicioso pode extrair dados de origem cruzada

Descrição: havia um problema de transmissão de script entre sites no redirecionamento de URL do Safari. Esse problema foi resolvido por meio de melhorias na validação de URLs nos redirecionamentos.

CVE-2016-4585: Takeshi Terada da Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: