Acerca dos conteúdos de segurança do Apple TV 7

Este documento descreve os conteúdos de segurança do Apple TV 7.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos da Apple.

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Apple TV 7

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um atacante pode obter as credenciais do Wi-Fi

    Descrição: um atacante podia imitar um ponto de acesso Wi-Fi, oferecer uma autenticação por LEAP, quebrar a hash MS-CHAPv1 e utilizar as credenciais derivadas deste processo para autenticar para o ponto de acesso pretendido, mesmo se esse ponto de acesso suportasse métodos de autenticação mais fortes. Este problema foi resolvido através da remoção do suporte para LEAP.

    ID CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte da Universiteit Hasselt

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um atacante com acesso a qualquer dispositivo poderá aceder a informações sensíveis do utilizador através dos registos

    Descrição: as informações sensíveis do utilizador ficavam registadas. Este problema foi corrigido registando menos informações.

    ID CVE

    CVE-2014-4357: Heli Myllykoski do OP-Pohjola Group

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um atacante com uma posição privilegiada na rede poderá ser capaz de fazer com que um dispositivo pense que está atualizado, mesmo quando não está

    Descrição: existia um problema de validação no processamento de respostas de verificação de atualizações. As datas falsas de cabeçalhos de resposta intitulados "Última-alteração" com datas futuras eram utilizadas para verificações "Se-modificados-desde" em pedidos de atualização posteriores. Este problema foi resolvido através da validação do cabeçalho "Última-alteração".

    ID CVE

    CVE-2014-4383: Raul Siles da DinoSec

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros PDF. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a divulgação de informações

    Descrição: existia um problema de leitura de memória fora dos limites no processamento de ficheiros PDF. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação poderá provocar o encerramento inesperado do sistema

    Descrição: existia um problema de desreferenciação do indicador nulo no processamento de argumentos API do IOAcceleratorFamily. Este problema foi resolvido através da validação melhorada dos argumentos API do IOAcceleratorFamily.

    ID CVE

    CVE-2014-4369: Catherine aka winocm e Cererdlong da Alibaba Mobile Security Team

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: o dispositivo poderá reiniciar inesperadamente

    Descrição: estava presente uma desreferenciação do apontador nulo no controlador IntelAccelerator. O problema foi resolvido através da melhoria no processamento de erros.

    ID CVE

    CVE-2014-4373: cunzhang de Adlab da Venustech

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir ler indicadores do kernel, os quais podem ser utilizados para contornar a aleatoriedade dos espaços dos modelos de endereços do kernel

    Descrição: existia um problema de leitura fora dos limites no processamento de uma função do IOHIDFamily. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4379: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de memória intermédia na área dinâmica para dados no processamento de propriedades vitais de mapeamento por parte do IOHIDFamily. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4404: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia uma desreferenciação do apontador nulo no processamento de propriedades vitais de mapeamento por parte do IOHIDFamily. Este problema foi resolvido através da melhoria da validação de propriedades vitais de mapeamento por parte do IOHIDFamily.

    ID CVE

    CVE-2014-4405: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios no kernel

    Descrição: existia um problema de escrita fora dos limites na extensão do kernel do IOHIDFamily. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4380: cunzhang de Adlab da Venustech

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir ler dados não inicializados da memória do kernel

    Descrição: existia um problema de acesso à memória não inicializada no processamento de funções do IOKit. Este problema foi resolvido através da melhoria da inicialização da memória

    ID CVE

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos IODataQueue. Este problema foi resolvido através da melhoria da validação de metadados.

    ID CVE

    CVE-2014-4418: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos IODataQueue. Este problema foi resolvido através da melhoria da validação de metadados.

    ID CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções do IOKit. Este problema foi resolvido através da validação melhorada dos argumentos API do IOKit.

    ID CVE

    CVE-2014-4389: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel

    Descrição: existiam vários problemas de memória não inicializada na interface de estatísticas de rede, o que levava à divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da inicialização adicional de memória.

    ID CVE

    CVE-2014-4371: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4419: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4420: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4421: Fermin J. Serna da Equipa de segurança da Google

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma pessoa com uma posição privilegiada na rede poderá provocar uma recusa de serviço

    Descrição: existia um problema de condição de disputa no processamento de pacotes IPv6. Este problema foi resolvido através da melhoria da verificação do estado de bloqueio.

    ID CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário no kernel

    Descrição: existia um problema de libertação dupla no processamento de portas Mach. Este problema foi resolvido através da melhoria da validação de portas Mach.

    ID CVE

    CVE-2014-4375

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá provocar o encerramento inesperado do sistema ou a execução de código arbitrário no kernel

    Descrição: existia um problema de leitura fora dos limites no rt_setgate. Isto poderá levar à divulgação ou corrupção de memória. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4408

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: algumas medidas de fortalecimento do kernel podem ser contornadas

    Descrição: o gerador de números aleatórios "early" utilizado em algumas medidas avançadas do kernel não era criptograficamente seguro e alguns dos seus resultados eram expostos no espaço do utilizador, permitindo contornar as medidas avançadas. Este problema foi resolvido através da substituição do gerador de números aleatórios por um algoritmo de criptografia seguro e utilizando um de 16 bytes.

    ID CVE

    CVE-2014-4422: Tarjei Mandt da Azimuth Security

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios de raiz

    Descrição: existia um problema de escrita fora dos limites no Libnotify. Este problema foi resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4381: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá conseguir alterar as permissões de ficheiros arbitrários

    Descrição: o syslogd seguia ligações simbólicas ao mesmo tempo que alterava permissões nos ficheiros. Este problema foi resolvido através de um melhor processamento das ligações simbólicas.

    ID CVE

    CVE-2014-4372: Tielei Wang e YeongJin Jang do Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um atacante com uma posição privilegiada na rede poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: ocorreram vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através de um melhor processamento da memória.

    ID CVE

    CVE-2013-6663: Atte Kettunen do OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Equipa de segurança do Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel da Google

    CVE-2014-4411: Equipa de segurança do Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: