Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Apple TV 6.1.1
-
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um atacante numa posição privilegiada na rede pode obter credenciais para um site
Descrição: os cabeçalhos HTTP definidos por cookies eram processados mesmo se a ligação fosse encerrada antes de a linha do cabeçalho estar completa. Um atacante poderia desativar as definições de segurança a partir do cookie, forçando a ligação a encerrar antes de as definições de segurança serem enviadas e, em seguida, obtendo o valor do cookie não protegido. Este problema foi corrigido ignorando linhas HTTP incompletas nos cabeçalhos.
ID CVE
CVE-2014-1296: Antoine Delignat-Lavaud da Prosecco na Inria Paris
-
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um utilizador local pode ler os indicadores do kernel, que podem ser utilizados para ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel
Descrição: um conjunto de indicadores do kernel armazenados num objeto IOKit poderia ser recuperado do espaço do utilizador. O problema foi corrigido através da remoção dos indicadores do objeto.
ID CVE
CVE-2014-1320: Ian Beer do Google Project Zero em colaboração com o programa Zero Day Initiative da HP
-
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um atacante com uma posição privilegiada na rede poderá capturar dados ou alterar as operações efetuadas em sessões protegidas por SSL.
Descrição: num ataque "triple handshake", era possível para o atacante estabelecer duas ligações que tinham as mesmas chaves de cifragem e handshake, inserir os dados do atacante numa ligação e renegociar para que as ligações pudessem ser reencaminhadas uma para a outra. Para impedir ataques baseados neste cenário, o Transporte seguro foi alterado para que, por predefinição, a renegociação apresente o mesmo certificado de servidor, tal como apresentado na ligação original.
ID CVE
CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan e Alfredo Pironti da Prosecco na Inria Paris
-
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um atacante com uma posição privilegiada na rede poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através de um melhor processamento da memória.
ID CVE
CVE-2013-2871: miaubiz
CVE-2014-1298: equipa de segurança do Google Chrome
CVE-2014-1299: equipa de segurança do Google Chrome, Apple, Renata Hodovan da University of Szeged/Samsung Electronics
CVE-2014-1300: Ian Beer do Google Project Zero em colaboração com o programa Zero Day Initiative da HP
CVE-2014-1302: equipa de segurança do Google Chrome, Apple
CVE-2014-1303: KeenTeam em colaboração com o programa Zero Day Initiative da HP
CVE-2014-1304: Apple
CVE-2014-1305: Apple
CVE-2014-1307: equipa de segurança do Google Chrome
CVE-2014-1308: equipa de segurança do Google Chrome
CVE-2014-1309: cloudfuzzer
CVE-2014-1310: equipa de segurança do Google Chrome
CVE-2014-1311: equipa de segurança do Google Chrome
CVE-2014-1312: equipa de segurança do Google Chrome
CVE-2014-1313: equipa de segurança do Google Chrome
CVE-2014-1713: VUPEN em colaboração com o programa Zero Day Initiative da HP