Acerca dos conteúdos de segurança do Apple TV 6.1.1

Este documento descreve os conteúdos de segurança do Apple TV 6.1.1.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Apple TV 6.1.1

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um atacante numa posição privilegiada na rede pode obter credenciais para um site

    Descrição: os cabeçalhos HTTP definidos por cookies eram processados mesmo se a ligação fosse encerrada antes de a linha do cabeçalho estar completa. Um atacante poderia desativar as definições de segurança a partir do cookie, forçando a ligação a encerrar antes de as definições de segurança serem enviadas e, em seguida, obtendo o valor do cookie não protegido. Este problema foi corrigido ignorando linhas HTTP incompletas nos cabeçalhos.

    ID CVE

    CVE-2014-1296: Antoine Delignat-Lavaud da Prosecco na Inria Paris

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um utilizador local pode ler os indicadores do kernel, que podem ser utilizados para ignorar a aleatoriedade dos espaços dos modelos de endereços do kernel

    Descrição: um conjunto de indicadores do kernel armazenados num objeto IOKit poderia ser recuperado do espaço do utilizador. O problema foi corrigido através da remoção dos indicadores do objeto.

    ID CVE

    CVE-2014-1320: Ian Beer do Google Project Zero em colaboração com o programa Zero Day Initiative da HP

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um atacante com uma posição privilegiada na rede poderá capturar dados ou alterar as operações efetuadas em sessões protegidas por SSL.

    Descrição: num ataque "triple handshake", era possível para o atacante estabelecer duas ligações que tinham as mesmas chaves de cifragem e handshake, inserir os dados do atacante numa ligação e renegociar para que as ligações pudessem ser reencaminhadas uma para a outra. Para impedir ataques baseados neste cenário, o Transporte seguro foi alterado para que, por predefinição, a renegociação apresente o mesmo certificado de servidor, tal como apresentado na ligação original.

    ID CVE

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan e Alfredo Pironti da Prosecco na Inria Paris

  • Apple TV

    Disponível para: Apple TV (2.ª geração e posterior)

    Impacto: um atacante com uma posição privilegiada na rede poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através de um melhor processamento da memória.

    ID CVE

    CVE-2013-2871: miaubiz

    CVE-2014-1298: equipa de segurança do Google Chrome

    CVE-2014-1299: equipa de segurança do Google Chrome, Apple, Renata Hodovan da University of Szeged/Samsung Electronics

    CVE-2014-1300: Ian Beer do Google Project Zero em colaboração com o programa Zero Day Initiative da HP

    CVE-2014-1302: equipa de segurança do Google Chrome, Apple

    CVE-2014-1303: KeenTeam em colaboração com o programa Zero Day Initiative da HP

    CVE-2014-1304: Apple

    CVE-2014-1305: Apple

    CVE-2014-1307: equipa de segurança do Google Chrome

    CVE-2014-1308: equipa de segurança do Google Chrome

    CVE-2014-1309: cloudfuzzer

    CVE-2014-1310: equipa de segurança do Google Chrome

    CVE-2014-1311: equipa de segurança do Google Chrome

    CVE-2014-1312: equipa de segurança do Google Chrome

    CVE-2014-1313: equipa de segurança do Google Chrome

    CVE-2014-1713: VUPEN em colaboração com o programa Zero Day Initiative da HP

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: