Sobre o conteúdo de segurança do tvOS 10.0.1

Este documento descreve o conteúdo de segurança do tvOS 10.0.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de Segurança da Apple.

Para obter informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

tvOS 10.0.1

AppleMobileFileIntegrity

Disponível para: Apple TV (4ª geração)

Impacto: um executável assinado poderia substituir código com o mesmo ID de Equipe

Descrição: havia um problema de validação no processamento de assinaturas de códigos. Esse problema foi resolvido por meio de validações adicionais.

CVE-2016-7584: Mark Mentovai e Boris Vidolov da Google Inc.

CFNetwork Proxies

Disponível para: Apple TV (4ª geração)

Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário

Descrição: havia um problema de phishing no processamento de credenciais de proxy. Esse problema foi resolvido com a remoção de solicitações de autenticação de senha não solicitadas.

CVE-2016-7579: Jerry Decime

CoreGraphics

Disponível para: Apple TV (4ª geração)

Impacto: visualizar um arquivo JPEG malicioso pode resultar na execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4673: Marco Grassi (@marcograss) do KeenLab (@keen_lab), Tencent

FontParser

Disponível para: Apple TV (4ª geração)

Impacto: a análise de uma fonte maliciosa pode divulgar informações confidenciais

Descrição: um problema de leitura fora dos limites foi solucionado por meio de melhorias na verificação de limites.

CVE-2016-4660: Ke Liu do Xuanwu Lab da Tencent

FontParser

Disponível para: Apple TV (4ª geração)

Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.

CVE-2016-4688: Simon Huang da empresa Alipay, thelongestusernameofall@gmail.com

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode divulgar a memória do kernel

Descrição: um problema de validação foi corrigido por meio da limpeza de entradas.

CVE-2016-4680: Max Bazaliy da Lookout e in7egral

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo local pode causar a execução arbitrária de códigos usando privilégios de raiz

Descrição: havia diversos problemas de tempo de vida do objeto ao gerar novos processos. Eles foram resolvidos por meio de melhorias na validação.

CVE-2016-7613: Ian Beer do Google Project Zero

libarchive

Disponível para: Apple TV (4ª geração)

Impacto: um arquivo malicioso pode sobrescrever arquivos arbitrários

Descrição: havia um problema na lógica de validação de caminho para links simbólicos. Esse problema foi solucionado por meio de melhorias na limpeza do caminho.

CVE-2016-4679: Omer Medan do enSilo Ltd

libxpc

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de raiz

Descrição: um problema de lógica foi solucionado por meio de restrições adicionais.

CVE-2016-4675: Ian Beer do Google Project Zero

Perfis de área restrita

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode recuperar metadados de diretórios de fotos

Descrição: um problema de acesso foi resolvido por meio de restrições adicionais para área restrita em aplicativos de terceiros.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Perfis de área restrita

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode recuperar metadados de diretórios de gravações de áudio

Descrição: um problema de acesso foi resolvido por meio de restrições adicionais para área restrita em aplicativos de terceiros.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Inicialização do sistema

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

Descrição: havia vários problemas de validação de entrada nos códigos gerados por MIG. Esses problemas foram solucionados por meio de melhorias na validação.

CVE-2016-4669: Ian Beer do Google Project Zero

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na divulgação de informações do usuário

Descrição: um problema de validação de entrada foi solucionado por meio de melhorias no gerenciamento de estado.

CVE-2016-4613: Chris Palmer

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram solucionados por meio de melhorias no processamento de memória.

CVE-2016-4666: Apple

CVE-2016-4677: pesquisador anônimo trabalhando com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram solucionados por meio de melhorias no processamento de memória.

CVE-2016-7578: Apple