Acerca dos conteúdos de segurança do Apple TV 7.2.1

Este documento descreve os conteúdos de segurança do Apple TV 7.2.1.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Apple TV 7.2.1

  • bootp

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma rede Wi-Fi maliciosa poderá conseguir determinar a que redes um dispositivo acedeu anteriormente

    Descrição: ao estabelecer ligação a uma rede Wi-Fi, o iOS poderá ter difundido endereços MAC de redes anteriormente acedidas através do protocolo DNAv4. Este problema foi resolvido através da desativação do protocolo DNAv4 em redes Wi-Fi não cifradas.

    ID CVE

    CVE-2015-3778: Piers O'Hanlon do Oxford Internet Institute, Universidade de Oxford (no projeto EPSRC Being There)

  • CloudKit

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma aplicação maliciosa poderá conseguir aceder ao registo de utilizador do iCloud de um utilizador que tenha iniciado sessão anteriormente

    Descrição: existia uma inconsistência do estado no CloudKit ao terminar a sessão dos utilizadores. Este problema foi resolvido através do processamento melhorado do estado.

    ID CVE

    CVE-2015-3782: Deepkanwal Plaha da Universidade de Toronto

  • CFPreferences

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma app maliciosa poderá conseguir ler as preferências geridas de outras apps

    Descrição: existia um problema na sandbox de apps de terceiros. O problema foi resolvido através da melhoria do perfil da sandbox de terceiros.

    ID CVE

    CVE-2015-3793: Andreas Weinlein da Equipa Mobility Threat da Appthority

  • Assinatura de código

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma aplicação maliciosa poderá conseguir executar um código não assinado

    Descrição: existia um problema que permitia que um código não assinado fosse adicionado ao código assinado num ficheiro executável criado com intuito malicioso. Este problema foi resolvido através da validação melhorada da assinatura do código.

    ID CVE

    CVE-2015-3806: Equipa TaiG Jailbreak

  • Assinatura de código

    Disponível para: Apple TV (3.ª geração)

    Impacto: um ficheiro executável criado com intuito malicioso poderá permitir a execução de um código malicioso e não assinado

    Descrição: existia um problema na forma como os ficheiros executáveis multiarquitetura eram avaliados, o que poderia ter permitido que um código não assinado fosse executado. Este problema foi resolvido através da validação melhorada de ficheiros executáveis.

    ID CVE

    CVE-2015-3803: Equipa TaiG Jailbreak

  • Assinatura de código

    Disponível para: Apple TV (3.ª geração)

    Impacto: um utilizador local poderá conseguir executar um código não assinado

    Descrição: existia um problema de validação no processamento de ficheiros Mach-O. Este problema foi resolvido através de verificações adicionais.

    ID CVE

    CVE-2015-3802: Equipa TaiG Jailbreak

    CVE-2015-3805: Equipa TaiG Jailbreak

  • CoreMedia Playback

    Disponível para: Apple TV (3.ª geração)

    Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no CoreMedia Playback. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponível para: Apple TV (3.ª geração)

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.

    ID CVE

    CVE-2015-5755: John Villamil (@day6reak), Equipa Pentest da Yahoo 

    CVE-2015-5761: John Villamil (@day6reak), Equipa Pentest da Yahoo

  • DiskImages

    Disponível para: Apple TV (3.ª geração)

    Impacto: o processamento de um ficheiro DMG criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória na análise de imagens DMG criadas incorretamente. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3800: Frank Graziano da Equipa Pentest da Yahoo

  • FontParser

    Disponível para: Apple TV (3.ª geração)

    Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da validação melhorada da entrada.

    ID CVE

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Equipa Pentest da Yahoo

    CVE-2015-5775: Apple

  • ImageIO

    Disponível para: Apple TV (3.ª geração)

    Impacto: o processamento de um ficheiro .tiff criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de ficheiros .tiff. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponível para: Apple TV (3.ª geração)

    Impacto: analisar conteúdos web criados com intuito malicioso poderá originar a divulgação da memória de processamento

    Descrição: existia um problema de acesso à memória não inicializada no processamento de imagens PNG por parte do ImageIO. Este problema foi resolvido através da inicialização melhorada da memória e da validação adicional de imagens PNG.

    ID CVE

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Disponível para: Apple TV (3.ª geração)

    Impacto: analisar conteúdos web criados com intuito malicioso poderá originar a divulgação da memória de processamento

    Descrição: existia um problema de acesso à memória não inicializada no processamento de imagens TIFF por parte do ImageIO. Este problema é resolvido através de uma inicialização melhorada da memória e da validação adicional de imagens TIFF.

    ID CVE

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Disponível para: Apple TV (3.ª geração)

    Impacto: analisar um plist criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no processamento de plists criados incorretamente. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3776: Teddy Reed da Segurança do Facebook, Patrick Stein (@jollyjinx) da Jinx Germany

  • IOHIDFamily

    Disponível para: Apple TV (3.ª geração)

    Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo do buffer no IOHIDFamily. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5774: Equipa TaiG Jailbreak

  • Kernel

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma aplicação maliciosa poderá conseguir determinar o esquema de memória do kernel

    Descrição: existia um problema na interface mach_port_space_info, que poderia ter levado à divulgação do esquema de memória do kernel. Este problema foi resolvido através da desativação da interface mach_port_space_info.

    ID CVE

    CVE-2015-3766: Cererdlong da Equipa Mobile Security da Alibaba, @PanguTeam

  • Kernel

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções IOKit. Este problema foi resolvido através da validação adicional dos argumentos IOKit API.

    ID CVE

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    Disponível para: Apple TV (3.ª geração)

    Impacto: o processamento de uma expressão regular criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória na biblioteca TRE. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3796: Ian Beer do Google Project Zero

    CVE-2015-3797: Ian Beer do Google Project Zero

    CVE-2015-3798: Ian Beer do Google Project Zero

  • Libinfo

    Disponível para: Apple TV (3.ª geração)

    Impacto: um atacante remoto poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória no processamento de sockets AF_INET6. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no processamento de syscalls. Este problema foi resolvido através da melhoria da verificação do estado de bloqueio.

    ID CVE

    CVE-2015-5757: Lufeng Li da Qihoo 360

  • libxml2

    Disponível para: Apple TV (3.ª geração)

    Impacto: analisar um documento XML criado com intuito malicioso poderá provocar a divulgação de informações do utilizador

    Descrição: existia um problema de corrupção de memória na análise de ficheiros XML. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Disponível para: Apple TV (3.ª geração)

    Impacto: existiam várias vulnerabilidades nas versões do libxml2 anteriores à 2.9.2, a mais grave das quais poderá permitir que um atacante remoto provoque uma recusa de serviço

    Descrição: existiam várias vulnerabilidades nas versões do libxml2 anteriores à 2.9.2. Estas vulnerabilidades foram resolvidas através da atualização do libxml2 para a versão 2.9.2.

    ID CVE

    CVE-2012-6685: Felix Groebert da Google

    CVE-2014-0191: Felix Groebert da Google

    CVE-2014-3660: Felix Groebert da Google

  • libxpc

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema

    Descrição: existia um problema de corrupção de memória no processamento de mensagens XPC criadas incorretamente. Este problema foi resolvido através da verificação melhorada dos limites.

    ID CVE

    CVE-2015-3795: Mathew Rowley

  • libxslt

    Disponível para: Apple TV (4.ª geração)

    Impacto: o processamento de um XML criado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existia um problema de confusão de tipos no libxslt. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-7995: puzzor

  • Estrutura de localização

    Disponível para: Apple TV (3.ª geração)

    Impacto: um utilizador local poderá conseguir modificar partes protegidas do sistema de ficheiros

    Descrição: um problema de ligação simbólica foi resolvido através da validação melhorada do caminho.

    ID CVE

    CVE-2015-3759: Cererdlong da Equipa Mobile Security da Alibaba

  • Office Viewer

    Disponível para: Apple TV (3.ª geração)

    Impacto: analisar um XML criado com intuito malicioso poderá provocar a divulgação de informações do utilizador

    Descrição: existia um problema com a referência da entidade externa na análise do XML. Este problema foi resolvido através da análise melhorada.

    ID CVE

    CVE-2015-3784: Bruno Morisson da INTEGRITY S.A. 

  • QL Office

    Disponível para: Apple TV (3.ª geração)

    Impacto: analisar um documento do Office criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existia um problema de corrupção de memória na análise de documentos do Office. Este problema foi resolvido através do processamento melhorado da memória.

    ID CVE

    CVE-2015-5773: Apple

  • Sandbox_profiles

    Disponível para: Apple TV (3.ª geração)

    Impacto: uma app criada com intuito malicioso poderá conseguir ler as preferências geridas de outras apps

    Descrição: existia um problema na sandbox de apps de terceiros. O problema foi resolvido através da melhoria do perfil da sandbox de terceiros.

    ID CVE

    CVE-2015-5749: Andreas Weinlein da Equipa Mobility Threat da Appthority

  • WebKit

    Disponível para: Apple TV (3.ª geração)

    Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.

    ID CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Disponível para: Apple TV (3.ª geração)

    Impacto: os conteúdos web criados com intuito malicioso poderão retirar dados de imagens de origens cruzadas

    Descrição: imagens obtidas através de URL que redirecionavam para um recurso data:image podiam ser retiradas de origens cruzadas. Este problema foi resolvido através do registo melhorado da tela.

    ID CVE

    CVE-2015-3753: Antonio Sanso e Damien Antipa da Adobe

  • WebKit

    Disponível para: Apple TV (3.ª geração)

    Impacto: conteúdos web criados com intuito malicioso poderão originar pedidos de texto simples a uma origem em HTTP Strict Transport Security

    Descrição: existia um problema em que os pedidos de relatório da Política de Segurança de Conteúdos não cumpriam os requisitos de HTTP Strict Transport Security (HSTS). O problema foi resolvido através da aplicação de HSTS a CSP.

    ID CVE

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponível para: Apple TV (3.ª geração)

    Impacto: os pedidos de relatório da Política de Segurança de Conteúdos podem permitir a passagem de cookies

    Descrição: existiam dois problemas na forma como os cookies eram adicionados aos pedidos de relatório da Política de Segurança de Conteúdos. Os cookies eram enviados em pedidos de relatório de origens cruzadas criados em violação da norma. Os cookies definidos durante a navegação normal eram enviados na navegação privada. Estes problemas foram resolvidos através do processamento melhorado dos cookies.

    ID CVE

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponível para: Apple TV (3.ª geração)

    Impacto: o carregamento de imagens poderá violar a diretiva de Política de Segurança de Conteúdos de um site

    Descrição: existia um problema em que o processamento de conteúdos web com controlos de vídeo carregava imagens alojadas em elementos de objeto em violação da diretiva de Política de Segurança de Conteúdos do site. Este problema foi resolvido através da melhoria da aplicação da Política de Segurança de Conteúdos.

    ID CVE

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: