Sobre o conteúdo de segurança do tvOS 10.1

Este documento descreve o conteúdo de segurança do tvOS 10.1.

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

tvOS 10.1

Lançado em 12 de dezembro de 2016

Áudio

Disponível para: Apple TV (4ª geração)

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução de códigos arbitrários

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7658: Haohao Kong do Keen Lab (@keen_lab) da Tencent

CVE-2016-7659: Haohao Kong do Keen Lab (@keen_lab) da Tencent

Entrada adicionada em 13 de dezembro de 2016

CoreFoundation

Disponível para: Apple TV (4ª geração)

Impacto: processar strings maliciosas pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

Descrição: havia um problema de memória corrompida no processamento de strings. Esse problema foi solucionado por meio de melhorias na verificação de limites.

CVE-2016-7663: pesquisador anônimo

Entrada adicionada em 13 de dezembro de 2016

CoreGraphics

Disponível para: Apple TV (4ª geração)

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7627: TRAPMINE Inc. e Meysam Firouzi @R00tkitSMM

Entrada adicionada em 13 de dezembro de 2016

CoreMedia External Displays

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo local pode executar códigos arbitrários no contexto do daemon do servidor de mídia

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7655: Keen Lab em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 13 de dezembro de 2016

CoreMedia Playback

Disponível para: Apple TV (4ª geração)

Impacto: processar um arquivo .mp4 criado com códigos maliciosos pode causar a execução de códigos arbitrários

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7588: dragonltx da Huawei 2012 Laboratories

Entrada adicionada em 13 de dezembro de 2016

CoreText

Disponível para: Apple TV (4ª geração)

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia vários problemas de memória corrompida no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

CVE-2016-7595: riusksk(泉哥) do Tencent Security Platform Department

Entrada adicionada em 13 de dezembro de 2016

CoreText

Disponível para: Apple TV (4ª geração)

Impacto: processar uma string criada com códigos maliciosos pode causar uma negação de serviço

Descrição: um problema durante a renderização de intervalos sobrepostos foi resolvido por meio de melhorias na validação.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) da Digital Unit (dgunit.com)

Entrada adicionada em 15 de dezembro de 2016

Imagens de disco

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7616: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 13 de dezembro de 2016

FontParser

Disponível para: Apple TV (4ª geração)

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia vários problemas de memória corrompida no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

CVE-2016-4691: riusksk(泉哥) do Tencent Security Platform Department

Entrada adicionada em 13 de dezembro de 2016

ICU

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7594: André Bargull

Entrada adicionada em 13 de dezembro de 2016

ImageIO

Disponível para: Apple TV (4ª geração)

Impacto: um invasor remoto pode causar o vazamento de memória

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-7643: Yangkang (@dnpushme) da equipe Qex da Qihoo360

Entrada adicionada em 13 de dezembro de 2016

IOHIDFamily

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo local com privilégios de sistema pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7591: daybreaker do Minionz

Entrada adicionada em 13 de dezembro de 2016

IOKit

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode ler a memória do kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7657: Keen Lab em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 13 de dezembro de 2016

IOKit

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode definir o layout de memória do kernel

Descrição: um problema de memória compartilhada foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7714: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 25 de janeiro de 2017

JavaScriptCore

Disponível para: Apple TV (4ª geração)

Impacto: um script em execução em uma área restrita do JavaScript podia ser capaz de acessar o estado fora dessa área de restrição

Descrição: havia um problema de validação no processamento do JavaScript. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2016-4695: Mark S. Miller do Google

Entrada adicionada em 16 de agosto de 2017

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel 

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.

CVE-2016-7606: @cocoahuke, Chen Qin da equipe Topsec Alpha (topsec.com)

CVE-2016-7612: Ian Beer do Google Project Zero

Entrada adicionada em 13 de dezembro de 2016

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode ler a memória do kernel

Descrição: um problema de inicialização insuficiente foi resolvido por meio da inicialização adequada da memória para retornar ao espaço do usuário.

CVE-2016-7607: Brandon Azad

Entrada adicionada em 13 de dezembro de 2016

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode causar uma negação de serviço do sistema

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7615: National Cyber Security Centre (NCSC, Centro de Segurança Cibernética Nacional do Reino Unido)

Entrada adicionada em 13 de dezembro de 2016

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução de códigos arbitrários no kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7621: Ian Beer do Google Project Zero

Entrada adicionada em 13 de dezembro de 2016

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7637: Ian Beer do Google Project Zero

Entrada adicionada em 13 de dezembro de 2016

Kernel

Disponível para: Apple TV (4ª geração)

Impacto: um aplicativo pode causar uma negação de serviço

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7647: Lufeng Li da Qihoo 360 Vulcan Team

Entrada adicionada em 17 de maio de 2017

libarchive

Disponível para: Apple TV (4ª geração)

Impacto: um invasor local pode substituir arquivos existentes

Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2016-7619: pesquisador anônimo

Entrada adicionada em 13 de dezembro de 2016

Gerenciamento de energia

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema nas referências de nome da porta mach foi resolvido por meio de melhorias na validação.

CVE-2016-7661: Ian Beer do Google Project Zero

Entrada adicionada em 13 de dezembro de 2016

Perfis

Disponível para: Apple TV (4ª geração)

Impacto: abrir um certificado criado com códigos maliciosos pode causar a execução de códigos arbitrários

Descrição: havia um problema de memória corrompida no processamento de perfis de certificado. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Segurança

Disponível para: Apple TV (4ª geração)

Impacto: um invasor pode explorar as vulnerabilidades do algoritmo criptográfico 3DES

Descrição: o algoritmo 3DES foi removido como cifra padrão.

CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan da INRIA, Paris

Entrada adicionada em 13 de dezembro de 2016

Segurança

Disponível para: Apple TV (4ª geração)

Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço

Descrição: havia um problema de validação no processamento de URLs de resposta de OCSP. Esse problema foi resolvido ao verificar o status da revogação de OCSP após a validação de CA e limitar o número de solicitações de OCSP por certificado.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Entrada adicionada em 13 de dezembro de 2016

Segurança

Disponível para: Apple TV (4ª geração)

Impacto: os certificados podem ser inesperadamente avaliados como confiáveis

Descrição: havia um problema de avaliação de certificado na validação de certificados. Esse problema foi resolvido por meio de validação adicional de certificados.

CVE-2016-7662: Apple

Entrada adicionada em 13 de dezembro de 2016

syslog

Disponível para: Apple TV (4ª geração)

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema nas referências de nome da porta mach foi resolvido por meio de melhorias na validação.

CVE-2016-7660: Ian Beer do Google Project Zero

Entrada adicionada em 13 de dezembro de 2016

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

Entrada adicionada em 13 de dezembro de 2016

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4743: Alan Cutter

Entrada adicionada em 13 de dezembro de 2016

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na divulgação de informações do usuário

Descrição: um problema de validação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2016-7586: Boris Zbarsky

Entrada adicionada em 13 de dezembro de 2016

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no gerenciamento de estados.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro

CVE-2016-7611: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

CVE-2016-7639: Tongbo Luo da Palo Alto Networks

CVE-2016-7640: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

CVE-2016-7641: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

CVE-2016-7642: Tongbo Luo da Palo Alto Networks

CVE-2016-7645: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

CVE-2016-7646: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

CVE-2016-7648: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

CVE-2016-7649: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

CVE-2016-7654: Keen Lab em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 13 de dezembro de 2016

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2016-7589: Apple

CVE-2016-7656: Keen Lab em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 13 de dezembro de 2016

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de acesso à memória não inicializada foi resolvido por meio de melhorias na inicialização da memória.

CVE-2016-7598: Samuel Groß

Entrada adicionada em 13 de dezembro de 2016

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na divulgação de informações do usuário

Descrição: havia um problema no processamento de redirecionamentos de HTTP. Esse problema foi resolvido por meio de melhorias na validação de origem cruzada.

CVE-2016-7599: Muneaki Nishimura (nishimunea) da Recruit Technologies Co., Ltd.

Entrada adicionada em 13 de dezembro de 2016

WebKit

Disponível para: Apple TV (4ª geração)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2016-7632: Jeonghoon Shin

Entrada adicionada em 13 de dezembro de 2016

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: