Acerca dos conteúdos de segurança da Apple TV 7

Este documento descreve os conteúdos de segurança da Apple TV 7.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Actualizações de segurança da Apple.

Apple TV 7

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um atacante pode obter as credenciais da rede Wi-Fi

    Descrição: um atacante podia imitar um ponto de acesso de Wi-Fi, oferecer uma autenticação por LEAP, quebrar a hash MS-CHAPv1 e utilizar as credenciais derivadas deste processo para autenticar para o ponto de acesso pretendido, mesmo se esse ponto de acesso suportasse métodos de autenticação mais fortes. Este problema foi resolvido através da remoção do suporte para LEAP.

    ID CVE

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte da Universiteit Hasselt

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um atacante com acesso a qualquer dispositivo poderá aceder a informações confidenciais de utilizadores através dos registos

    Descrição: as informações confidenciais de utilizadores eram registadas. Este problema foi resolvido através do registo de menos informações.

    ID CVE

    CVE-2014-4357: Heli Myllykoski do OP-Pohjola Group

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um atacante com uma posição privilegiada na rede poderá ser capaz de fazer com que um dispositivo pense que está atualizado, mesmo quando não está

    Descrição: existia um problema de validação no processamento de respostas de verificação de atualizações. As datas falsas de cabeçalhos de resposta intitulados Última-alteração com datas futuras eram utilizadas para verificações Se-modificados-desde em pedidos de atualização posteriores. Este problema foi resolvido através da validação do cabeçalho Última-alteração.

    ID CVE

    CVE-2014-4383: Raul Siles da DinoSec

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da app ou uma divulgação de informações

    Descrição: existia um problema de leitura de memória fora dos limites no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app poderá provocar o encerramento inesperado do sistema

    Descrição: existia um problema de perda de referência do indicador nulo no processamento de argumentos API do IOAcceleratorFamily. Este problema foi resolvido através da validação melhorada dos argumentos API do IOAcceleratorFamily.

    ID CVE

    CVE-2014-4369 : Sarah (também conhecida como winocm) e Cererdlong da Alibaba Mobile Security Team

    Entrada adicionada a 3 de fevereiro de 2020
  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: o dispositivo poderá reiniciar inesperadamente

    Descrição: estava presente uma perda de referência do indicador nulo no controlador IntelAccelerator. O problema foi resolvido através do processamento de erros melhorado.

    ID CVE

    CVE-2014-4373: cunzhang de Adlab da Venustech

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá conseguir ler indicadores do kernel, os quais podem ser utilizados para contornar a aleatoriedade dos espaços dos modelos de endereços do kernel

    Descrição: existia um problema de leitura fora dos limites no processamento de uma função do IOHIDFamily. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4379: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de propriedades vitais de mapeamento do IOHIDFamily. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4404: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de perda de referência do indicador nulo no processamento de propriedades vitais de mapeamento do IOHIDFamily. O problema foi resolvido através de uma melhor validação de propriedades vitais de mapeamento do IOHIDFamily.

    ID CVE

    CVE-2014-4405: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

    Descrição: existia um problema de escrita fora dos limites na extensão do kernel do IOHIDFamily. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4380: cunzhang de Adlab da Venustech

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá ser capaz de ler dados não inicializados da memória do kernel

    Descrição: existia um problema de acesso à memória não inicializada no processamento de funções do IOKit. Este problema foi resolvido através da inicialização melhorada da memória

    ID CVE

    CVE-2014-4407: @PanguTeam

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos IODataQueue. Este problema foi resolvido através da validação melhorada de metadados.

    ID CVE

    CVE-2014-4418: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de determinados campos de metadados dos objetos IODataQueue. Este problema foi resolvido através da validação melhorada de metadados.

    ID CVE

    CVE-2014-4388: @PanguTeam

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções do IOKit. Este problema foi resolvido através da validação melhorada dos argumentos da API do IOKit.

    ID CVE

    CVE-2014-4389: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel

    Descrição: existiam vários problemas de memória não inicializada na interface de estatísticas de rede, o que levou à divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da inicialização adicional de memória.

    ID CVE

    CVE-2014-4371: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4419: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4420: Fermin J. Serna da Equipa de segurança da Google

    CVE-2014-4421: Fermin J. Serna da Equipa de segurança da Google

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma pessoa com uma posição privilegiada na rede poderá provocar a recusa de serviço

    Descrição: existia um problema de condição de disputa no processamento de pacotes IPv6. Este problema foi resolvido através da verificação melhorada do estado de bloqueio.

    ID CVE

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá conseguir provocar o encerramento inesperado do sistema ou a execução de um código arbitrário no kernel

    Descrição: existia um problema de libertação dupla no processamento de portas Mach. Este problema foi resolvido através da validação melhorada de portas Mach.

    ID CVE

    CVE-2014-4375

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá conseguir provocar o encerramento inesperado do sistema ou a execução de um código arbitrário no kernel

    Descrição: existia um problema de leitura fora dos limites no rt_setgate. Isto poderá levar à divulgação ou corrupção de memória. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4408

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: algumas medidas de fortalecimento do kernel poderão ser contornadas

    Descrição: o gerador de números aleatórios "early" utilizado em algumas medidas avançadas do kernel não era criptograficamente seguro e alguns dos seus resultados eram expostos no espaço do utilizador, permitindo contornar as medidas avançadas. Este problema foi resolvido através da substituição do gerador de números aleatórios por um algoritmo de criptografia seguro e utilizando um de 16 bytes.

    ID CVE

    CVE-2014-4422: Tarjei Mandt da Azimuth Security

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa poderá conseguir executar um código arbitrário com privilégios de raiz

    Descrição: existia um problema de escrita fora dos limites no Libnotify. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2014-4381: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá conseguir alterar as permissões de ficheiros arbitrários

    Descrição: o syslogd seguia ligações simbólicas ao mesmo tempo que alterava permissões nos ficheiros. Este problema foi resolvido através de um processamento melhorado das ligações simbólicas.

    ID CVE

    CVE-2014-4372: Tielei Wang e YeongJin Jang do Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um atacante com uma posição privilegiada na rede poderá provocar o encerramento inesperado de uma app ou a execução de código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2013-6663: Atte Kettunen do OUSPG

    CVE-2014-1384: Apple

    CVE-2014-1385: Apple

    CVE-2014-1387: Equipa de segurança do Google Chrome

    CVE-2014-1388: Apple

    CVE-2014-1389: Apple

    CVE-2014-4410: Eric Seidel da Google

    CVE-2014-4411: Equipa de segurança do Google Chrome

    CVE-2014-4412: Apple

    CVE-2014-4413: Apple

    CVE-2014-4414: Apple

    CVE-2014-4415: Apple

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: