Sobre o conteúdo de segurança do tvOS 10
Este documento descreve o conteúdo de segurança do tvOS 10.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
tvOS 10
Áudio
Disponível para: Apple TV (4ª geração)
Impacto: um invasor remoto pode executar códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park e Taekyoung Kwon do Information Security Lab, Yonsei University
CFNetwork
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode comprometer as informações do usuário
Descrição: havia um problema de validação de entrada na análise do cabeçalho Set-Cookie. Esse problema foi resolvido por meio de melhorias na verificação de validações.
CVE-2016-4708: Dawid Czagan do Silesia Security Lab
CoreCrypto
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários
Descrição: um problema de gravação fora dos limites foi resolvido por meio da remoção do código vulnerável.
CVE-2016-4712: Gergo Koteles
FontParser
Disponível para: Apple TV (4ª geração)
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-2016-4718: Apple
IOAcceleratorFamily
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4725: Rodger Combs da Plex, Inc.
IOAcceleratorFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4726: um pesquisador anônimo
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um invasor remoto pode causar uma negação de serviço
Descrição: um problema no processamento do bloqueio foi resolvido por meio de melhorias no processamento do bloqueio.
CVE-2016-4772: Marc Heuse da mh-sec
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode identificar o layout de memória do kernel
Descrição: havia vários problemas de leitura fora dos limites que causavam a divulgação de memória do kernel. Esses problemas foram resolvidos por meio de melhorias na validação de entradas.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4775: Brandon Azad
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de cancelamento de referência de ponteiro não confiável foi resolvido por meio da remoção do código afetado.
CVE-2016-4777: Lufeng Li da Qihoo 360 Vulcan Team
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4778: CESG
libxml2
Disponível para: Apple TV (4ª geração)
Impacto: vários problemas no libxml2, sendo que o mais considerável deles pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-4738: Nick Wellnhofer
Segurança
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema na validação de imagens de disco assinadas. O problema foi resolvido por meio de melhorias na validação de tamanhos.
CVE-2016-4753: Mark Mentovai da Google Inc.
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de análise no processamento de protótipos de erro. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2016-4728: Daniel Divricean
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4611: Apple
CVE-2016-4730: Apple
CVE-2016-4734: natashenka do Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo da Palo Alto Networks
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anônimo trabalhando com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.
CVE-2016-4733: natashenka do Google Project Zero
CVE-2016-4765: Apple
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.
CVE-2016-4764: Apple
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.