Sobre o conteúdo de segurança do tvOS 10.1
Este documento descreve o conteúdo de segurança do tvOS 10.1.
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
tvOS 10.1
Áudio
Disponível para: Apple TV (4ª geração)
Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7658: Haohao Kong do Keen Lab (@keen_lab) da Tencent
CVE-2016-7659: Haohao Kong do Keen Lab (@keen_lab) da Tencent
CoreFoundation
Disponível para: Apple TV (4ª geração)
Impacto: processar strings maliciosas pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: havia um problema de memória corrompida no processamento de strings. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-2016-7663: pesquisador anônimo
CoreGraphics
Disponível para: Apple TV (4ª geração)
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7627: TRAPMINE Inc. e Meysam Firouzi @R00tkitSMM
CoreMedia External Displays
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo local pode executar códigos arbitrários no contexto do daemon do servidor de mídia
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7655: Keen Lab em parceria com a Zero Day Initiative da Trend Micro
CoreMedia Playback
Disponível para: Apple TV (4ª geração)
Impacto: processar um arquivo .mp4 criado com códigos maliciosos pode causar a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7588: dragonltx da Huawei 2012 Laboratories
CoreText
Disponível para: Apple TV (4ª geração)
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de memória corrompida no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
CVE-2016-7595: riusksk(泉哥) do Tencent Security Platform Department
CoreText
Disponível para: Apple TV (4ª geração)
Impacto: processar uma string criada com códigos maliciosos pode causar uma negação de serviço
Descrição: um problema durante a renderização de intervalos sobrepostos foi resolvido por meio de melhorias na validação.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) da Digital Unit (dgunit.com)
Imagens de disco
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7616: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro
FontParser
Disponível para: Apple TV (4ª geração)
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de memória corrompida no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
CVE-2016-4691: riusksk(泉哥) do Tencent Security Platform Department
ICU
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7594: André Bargull
ImageIO
Disponível para: Apple TV (4ª geração)
Impacto: um invasor remoto pode causar o vazamento de memória
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2016-7643: Yangkang (@dnpushme) da equipe Qex da Qihoo360
IOHIDFamily
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo local com privilégios de sistema pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2016-7591: daybreaker do Minionz
IOKit
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode ler a memória do kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7657: Keen Lab em parceria com a Zero Day Initiative da Trend Micro
IOKit
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode definir o layout de memória do kernel
Descrição: um problema de memória compartilhada foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7714: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro
JavaScriptCore
Disponível para: Apple TV (4ª geração)
Impacto: um script em execução em uma área restrita do JavaScript podia ser capaz de acessar o estado fora dessa área de restrição
Descrição: havia um problema de validação no processamento do JavaScript. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2016-4695: Mark S. Miller do Google
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.
CVE-2016-7606: @cocoahuke, Chen Qin da equipe Topsec Alpha (topsec.com)
CVE-2016-7612: Ian Beer do Google Project Zero
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode ler a memória do kernel
Descrição: um problema de inicialização insuficiente foi resolvido por meio da inicialização adequada da memória para retornar ao espaço do usuário.
CVE-2016-7607: Brandon Azad
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode causar uma negação de serviço do sistema
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7615: National Cyber Security Centre (NCSC, Centro de Segurança Cibernética Nacional do Reino Unido)
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução de códigos arbitrários no kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2016-7621: Ian Beer do Google Project Zero
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode obter privilégios raiz
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7637: Ian Beer do Google Project Zero
Kernel
Disponível para: Apple TV (4ª geração)
Impacto: um aplicativo pode causar uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7647: Lufeng Li da Qihoo 360 Vulcan Team
libarchive
Disponível para: Apple TV (4ª geração)
Impacto: um invasor local pode substituir arquivos existentes
Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2016-7619: pesquisador anônimo
Gerenciamento de energia
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode obter privilégios raiz
Descrição: um problema nas referências de nome da porta mach foi resolvido por meio de melhorias na validação.
CVE-2016-7661: Ian Beer do Google Project Zero
Perfis
Disponível para: Apple TV (4ª geração)
Impacto: abrir um certificado criado com códigos maliciosos pode causar a execução de códigos arbitrários
Descrição: havia um problema de memória corrompida no processamento de perfis de certificado. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Segurança
Disponível para: Apple TV (4ª geração)
Impacto: um invasor pode explorar as vulnerabilidades do algoritmo criptográfico 3DES
Descrição: o algoritmo 3DES foi removido como cifra padrão.
CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan da INRIA, Paris
Segurança
Disponível para: Apple TV (4ª geração)
Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço
Descrição: havia um problema de validação no processamento de URLs de resposta de OCSP. Esse problema foi resolvido ao verificar o status da revogação de OCSP após a validação de CA e limitar o número de solicitações de OCSP por certificado.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Segurança
Disponível para: Apple TV (4ª geração)
Impacto: os certificados podem ser inesperadamente avaliados como confiáveis
Descrição: havia um problema de avaliação de certificado na validação de certificados. Esse problema foi resolvido por meio de validação adicional de certificados.
CVE-2016-7662: Apple
syslog
Disponível para: Apple TV (4ª geração)
Impacto: um usuário local pode obter privilégios raiz
Descrição: um problema nas referências de nome da porta mach foi resolvido por meio de melhorias na validação.
CVE-2016-7660: Ian Beer do Google Project Zero
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-4743: Alan Cutter
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na divulgação de informações do usuário
Descrição: um problema de validação foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2016-7586: Boris Zbarsky
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-7611: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro
CVE-2016-7639: Tongbo Luo da Palo Alto Networks
CVE-2016-7640: Kai Kang do Xuanwu Lab da Tencent (tencent.com)
CVE-2016-7641: Kai Kang do Xuanwu Lab da Tencent (tencent.com)
CVE-2016-7642: Tongbo Luo da Palo Alto Networks
CVE-2016-7645: Kai Kang do Xuanwu Lab da Tencent (tencent.com)
CVE-2016-7646: Kai Kang do Xuanwu Lab da Tencent (tencent.com)
CVE-2016-7648: Kai Kang do Xuanwu Lab da Tencent (tencent.com)
CVE-2016-7649: Kai Kang do Xuanwu Lab da Tencent (tencent.com)
CVE-2016-7654: Keen Lab em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de acesso à memória não inicializada foi resolvido por meio de melhorias na inicialização da memória.
CVE-2016-7598: Samuel Groß
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na divulgação de informações do usuário
Descrição: havia um problema no processamento de redirecionamentos de HTTP. Esse problema foi resolvido por meio de melhorias na validação de origem cruzada.
CVE-2016-7599: Muneaki Nishimura (nishimunea) da Recruit Technologies Co., Ltd.
WebKit
Disponível para: Apple TV (4ª geração)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2016-7632: Jeonghoon Shin
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.