Acerca dos conteúdos de segurança do Apple TV 6.1

Este documento descreve os conteúdos de segurança do Apple TV 6.1.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Apple TV 6.1

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um atacante com acesso a um Apple TV poderá aceder a informações sensíveis acerca do utilizador através dos registos

    Descrição: as informações sensíveis acerca do utilizador ficavam registadas. Este problema foi corrigido registando menos informações.

    ID CVE

    CVE-2014-1279: David Schuetz no Intrepidus Group

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: as datas de validade dos perfis não eram respeitadas

    Descrição: as datas de validade dos perfis de configuração móveis não eram corretamente avaliadas. Este problema foi resolvido através do processamento melhorado dos perfis de configuração.

    ID CVE

    CVE-2014-1267

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: uma aplicação maliciosa pode causar um encerramento inesperado do sistema

    Descrição: existia um problema de afirmação acessível no processamento de chamadas IOKit API pelo CoreCapture. Este problema foi corrigido através da validação adicional das entradas do IOKit.

    ID CVE

    CVE-2014-1271: Filippo Bigarella

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um utilizador local poderá conseguir alterar as permissões de ficheiros arbitrários

    Descrição: o CrashHouseKeeping seguia ligações simbólicas ao mesmo tempo que alterava as permissões nos ficheiros. Este problema foi corrigido para que não fossem seguidas ligações simbólicas quando se alteravam as permissões nos ficheiros.

    ID CVE

    CVE-2014-1272: evad3rs

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: os requisitos de assinatura de código podem ser ignorados

    Descrição: as instruções de mudança de texto em bibliotecas dinâmicas poderão ser carregadas pelo dyld sem a validação da assinatura de código. Este problema foi corrigido ignorando as instruções de mudança de texto.

    ID CVE

    CVE-2014-1273: evad3rs

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: a visualização de um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens JPEG2000 em ficheiros PDF. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1275: Felix Groebert da equipa de segurança da Google

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: a visualização de um ficheiro TIFF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF por parte do libtiff. Este problema foi resolvido através da validação adicional de imagens TIFF.

    ID CVE

    CVE-2012-2088

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: a visualização de um ficheiro JPEG criado com intuito malicioso poderá conduzir à divulgação de conteúdos da memória

    Descrição: existia um problema de acesso à memória não inicializada no processamento de marcadores JPEG por parte do libjpeg, o que resultava na divulgação dos conteúdos da memória. Este problema foi resolvido através da validação adicional de ficheiros JPEG.

    ID CVE

    CVE-2013-6629: Michal Zalewski

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um utilizador local poderá causar o encerramento inesperado do sistema ou a execução de um código arbitrário no kernel

    Descrição: existia um problema de acesso à memória fora dos limites na função ARM ptmx_get_ioctl. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-1278: evad3rs

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um perfil de configuração poderá não estar visível para o utilizador

    Descrição: um perfil de configuração com um nome longo podia ser carregado para o dispositivo, mas não era apresentado no perfil da IU. Este problema foi corrigido através do processamento melhorado dos nomes de perfil.

    ID CVE

    CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani da Skycure

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um indivíduo com acesso físico ao dispositivo poderá ser capaz de provocar a execução de um código arbitrário no modo kernel

    Descrição: existia um problema de corrupção da memória no processamento de mensagens USB. Este problema foi resolvido através da validação adicional de mensagens USB.

    ID CVE

    CVE-2014-1287: Andy Davis do NCC Group

  • WebKit

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através de um melhor processamento da memória.

    ID CVE

    CVE-2013-2909: Atte Kettunen do OUSPG

    CVE-2013-2926: cloudfuzzer

    CVE-2013-2928: equipa de segurança do Google Chrome

    CVE-2013-5196: equipa de segurança do Google Chrome

    CVE-2013-5197: equipa de segurança do Google Chrome

    CVE-2013-5198: Apple

    CVE-2013-5199: Apple

    CVE-2013-5225: equipa de segurança do Google Chrome

    CVE-2013-5228: Keen Team (@K33nTeam) em colaboração com o programa Zero Day Initiative da HP

    CVE-2013-6625: cloudfuzzer

    CVE-2013-6635: cloudfuzzer

    CVE-2014-1269: Apple

    CVE-2014-1270: Apple

    CVE-2014-1289: Apple

    CVE-2014-1290: ant4g0nist (SegFault) em colaboração com o programa Zero Day Initiative da HP, equipa de segurança do Google Chrome

    CVE-2014-1291: equipa de segurança do Google Chrome

    CVE-2014-1292: equipa de segurança do Google Chrome

    CVE-2014-1293: equipa de segurança do Google Chrome

    CVE-2014-1294: equipa de segurança do Google Chrome

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: a reprodução de um vídeo criado com intuito malicioso poderia fazer com que o dispositivo deixasse de responder

    Descrição: existia um problema de desreferenciação nula no processamento de ficheiros MPEG-4 codificados. Este problema foi resolvido através da melhoria do processamento da memória.

    ID CVE

    CVE-2014-1280: rg0rd

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: