Acerca dos conteúdos de segurança do Apple TV 7.2
Este documento descreve os conteúdos de segurança do Apple TV 7.2.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
Apple TV 7.2
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de validação em objetos IOKit utilizados por um controlador de áudio. Este problema foi resolvido através da validação melhorada de metadados.
ID CVE
CVE-2015-1086
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação que utilize o NSXMLParser pode ser mal utilizada para divulgar informações
Descrição: existia um problema de Entidade Externa XML no processamento de XML por parte do NSXMLParser. O problema foi resolvido através do não carregamento de entidades externas nas origens.
ID CVE
CVE-2015-1092: Ikuya Fukumoto
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no IOAcceleratorFamily que levava à divulgação dos conteúdos da memória do kernel. Este problema foi resolvido através da remoção de código desnecessário.
ID CVE
CVE-2015-1094: Cererdlong da Alibaba Mobile Security Team
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um dispositivo HID malicioso poderá conseguir provocar a execução de um código arbitrário
Descrição: existia um problema de corrupção de memória na API IOHIDFamily. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-1095: Andrew Church
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no IOHIDFamily que levava à divulgação dos conteúdos da memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-1096: Ilja van Sprundel da IOActive
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel
Descrição: existia um problema no MobileFrameBuffer que levava à divulgação dos conteúdos da memória do kernel. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-1097: Barak Gabai da IBM X-Force Application Security Research Team
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir causar uma recusa de serviço por parte do sistema
Descrição: existia uma condição race na chamada de sistema setreuid do kernel. Este problema foi resolvido através da melhoria da gestão do estado.
ID CVE
CVE-2015-1099: Mark Mentovai da Google Inc.
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá reencaminhar privilégios utilizando um serviço comprometido destinado a ser executado com privilégios reduzidos
Descrição: as chamadas do sistema setreuid e setregid falhavam a atribuir privilégios permanentemente. O problema foi resolvido ao atribuir privilégios corretamente.
ID CVE
CVE-2015-1117: Mark Mentovai da Google Inc.
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir causar o encerramento inesperado do sistema ou ler memória do kernel
Descrição: existia um problema de acesso à memória fora dos limites no kernel. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-1100: Maxime Villard of m00nbsd
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de corrupção de memória no kernel. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2015-1101: lokihardt@ASRT em colaboração com o programa Zero Day Initiative da HP
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um atacante com uma posição privilegiada na rede poderá causar uma recusa de serviço
Descrição: existia uma inconsistência de estado no processamento de cabeçalhos TCP. Este problema foi resolvido através do processamento melhorado do estado.
ID CVE
CVE-2015-1102: Andrey Khudyakov e Maxim Zhuravlev da Kaspersky Lab
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir redirecionar o tráfego do utilizador para hosts arbitrários
Descrição: o redirecionamento de ICMP estava ativado por predefinição no iOS. Este problema foi resolvido ao desativar os redirecionamentos ICMP.
ID CVE
CVE-2015-1103: Zimperium Mobile Security Labs
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um atacante remoto poderá conseguir ignorar os filtros de rede
Descrição: o sistema tratava alguns pacotes de IPv6 de interfaces de rede remotas como pacotes locais. Este problema foi resolvido ao rejeitar estes pacotes.
ID CVE
CVE-2015-1104: Stephen Roettger da Equipa de segurança da Google
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um atacante remoto poderá conseguir causar uma recusa de serviço
Descrição: existia um problema de inconsistência de estado no processamento de TCP fora de bandas de dados. Este problema foi resolvido através da melhoria da gestão do estado.
ID CVE
CVE-2015-1105: Kenton Varda da Sandstorm.io
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: o processamento de um perfil de configuração concebido com intuito malicioso poderá causar o encerramento inesperado de uma aplicação
Descrição: existia um problema de corrupção de memória no processamento de perfis de configuração. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang, e Tao Wei da FireEye, Inc.
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: poderão ser enviadas informações desnecessárias a servidores externos ao descarregar recursos de podcasts
Descrição: ao descarregar recursos para podcasts, um utilizador tinha a assinatura em identificadores únicos que eram enviados para servidores externos. Este problema foi resolvido pela remoção destes identificadores.
ID CVE
CVE-2015-1110: Alex Selivanov
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: apps de terceiros poderão aceder aos identificadores de hardware
Descrição: existia um problema de divulgação de informações na sandbox de apps de terceiros. O problema foi resolvido através da melhoria do perfil da sandbox.
ID CVE
CVE-2015-1114
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.
ID CVE
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT em colaboração com o programa Zero Day Initiative da HP
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119: Renata Hodovan da University of Szeged/Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122: Apple
CVE-2015-1123: Randy Luecke e Anoop Menon da Google Inc.
CVE-2015-1124: Apple
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.