Acerca dos conteúdos de segurança do Apple TV 7.0.3

Este documento descreve os conteúdos de segurança do Apple TV 7.0.3.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.

Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos da Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Apple TV 7.0.3

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um comando afc criado com intuito malicioso poderá permitir o acesso a partes protegidas do sistema de ficheiros

    Descrição: existia uma vulnerabilidade no mecanismo de ligação simbólico do afc. Este problema foi resolvido adicionando verificações adicionais de caminho.

    ID CVE

    CVE-2014-4480: Equipa TaiG Jailbreak

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros PDF. Este problema é resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4481: Felipe Andres Manzano de Binamuse VRT em colaboração com o iSIGHT Partners GVP Program

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: um utilizador local poderá conseguir executar código não assinado

    Descrição: existia um problema de gestão de estado no processamento de ficheiros executáveis Mach-O com segmentos sobrepostos. Este problema foi resolvido através da melhoria da validação do tamanho dos segmentos

    ID CVE

    CVE-2014-4455: Equipa TaiG Jailbreak

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de ficheiros de tipo de letra. Este problema é resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4483: Apple

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: processar um ficheiro .dfont criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros .dfont. Este problema é resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4484: Gaurav Baruah em colaboração com o programa Zero Day Initiative da HP

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: visualizar um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no analisador de XML. Este problema é resolvido através de uma melhor verificação dos limites.

    ID CVE

    CVE-2014-4485: Apple

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de desreferenciação do apontador nulo no processamento das listas de recursos por parte do IOAcceleratorFamily. Este problema foi resolvido através da remoção de código desnecessário.

    ID CVE

    CVE-2014-4486: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no IOHIDFamily. Este problema foi resolvido através da melhoria da validação de tamanho.

    ID CVE

    CVE-2014-4487: Equipa TaiG Jailbreak

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema de validação no processamento de metadados da fila de recursos por parte do IOHIDFamily. Este problema foi resolvido através da melhoria da validação de metadados.

    ID CVE

    CVE-2014-4488: Apple

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia uma desreferenciação do apontador nulo no processamento das filas de eventos por parte do IOHIDFamily. Este problema foi resolvido através da melhoria da validação.

    ID CVE

    CVE-2014-4489: @beist

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: as aplicações iOS comprometidas ou criadas com intuito malicioso poderão ser capazes de determinar endereços no kernel

    Descrição: existia um problema de divulgação de informações no processamento de API relacionados com extensões do kernel. As respostas que contenham uma chave OSBundleMachOHeaders poderão ter incluídos endereços de kernel, o que poderá ajudar a contornar a proteção de aleatoriedade de esquema de espaços de endereços. Este problema foi resolvido travando os endereços antes de os devolver.

    ID CVE

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: existia um problema no subsistema de memória partilhada do kernel que permitia que um atacante escrevesse numa memória que era só de leitura. Este problema foi resolvido através de uma verificação mais rigorosa das permissões da memória partilhada.

    ID CVE

    CVE-2014-4495: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: as aplicações iOS comprometidas ou criadas com intuito malicioso poderão ser capazes de determinar endereços no kernel

    Descrição: a interface do kernel mach_port_kobject revelava endereços do kernel e um valor de permuta na área dinâmica para dados, o que poderia ajudar a contornar a proteção de aleatoriedade de esquema de espaços de endereços. Este problema foi resolvido através da desativação da interface mach_port_kobject em configurações de produção.

    ID CVE

    CVE-2014-4496: Equipa TaiG Jailbreak

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: uma app maliciosa na sandbox pode comprometer o daemon do networkd

    Descrição: existiam vários problemas de confusão do tipo no processamento da comunicação interprocessual por parte do networkd. Ao enviar uma mensagem formatada criada com intuito malicioso para o networkd, poderá ser possível a execução de código arbitrário como processo do networkd. Este problema foi resolvido através da verificação adicional dos tipos.

    ID CVE

    CVE-2014-4492: Ian Beer do Google Project Zero

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: as folhas de estilo são carregadas com cruzamento de origens, o que pode permitir a exfiltração de dados

    Descrição: um SVG carregado num elemento img poderá carregar um cruzamento de origens do ficheiro CSS. Este problema foi resolvido através do bloqueio melhorado de referências CSS externas nos SVG.

    ID CVE

    CVE-2014-4465: Rennie deGraaf da iSEC Partners

  • Apple TV

    Disponível para: Apple TV (3.ª geração e posterior)

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: ocorreram vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2014-3192: cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466: Apple

    CVE-2014-4468: Apple

    CVE-2014-4469: Apple

    CVE-2014-4470: Apple

    CVE-2014-4471: Apple

    CVE-2014-4472: Apple

    CVE-2014-4473: Apple

    CVE-2014-4474: Apple

    CVE-2014-4475: Apple

    CVE-2014-4476: Apple

    CVE-2014-4477: lokihardt@ASRT working with HP's Zero Day Initiative

    CVE-2014-4479: Apple

  • Apple TV

    Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior

    Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

    Descrição: a biblioteca libgssapi do Kerberos devolvia um token com apontador não direcionado. Este problema foi resolvido através da melhoria da gestão do estado.

    ID CVE

    CVE-2014-5352

  •  

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: