Acerca dos conteúdos de segurança do tvOS 9.2.1
Este documento descreve os conteúdos de segurança do tvOS 9.2.1.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
tvOS 9.2.1
CFNetwork Proxies
Disponível para: Apple TV (4.ª geração)
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir divulgar informações confidenciais de utilizadores
Descrição: existia uma fuga de informação no processamento de pedidos HTTP e HTTPS. Este problema foi resolvido através do processamento melhorado de URL.
ID CVE
CVE-2016-1801: Alex Chapman e Paul Stone da Context Information Security
CommonCrypto
Disponível para: Apple TV (4.ª geração)
Impacto: uma app maliciosa poderá conseguir divulgar informações confidenciais de utilizadores
Descrição: existia um problema no processamento de valores de retorno no CCCrypt. Este problema foi resolvido através da gestão melhorada do comprimento da chave.
ID CVE
CVE-2016-1802: Klaus Rodewig
CoreCapture
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de perda de referência do indicador nulo através da validação melhorada.
ID CVE
CVE-2016-1803: Ian Beer do Google Project Zero, daybreaker em colaboração com o programa Zero Day Initiative da Trend Micro
Disk Images
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir ler a memória do kernel
Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.
ID CVE
CVE-2016-1807: Ian Beer do Google Project Zero
Disk Images
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: existia um problema de corrupção de memória na análise de imagens de disco. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2016-1808: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro
ImageIO
Disponível para: Apple TV (4.ª geração)
Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar uma recusa de serviço
Descrição: foi resolvido um problema de perda de referência do indicador nulo através da validação melhorada.
ID CVE
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1817: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro em colaboração com o programa Zero Day Initiative da Trend Micro
CVE-2016-1818: Juwei Lin da TrendMicro, sweetchip@GRAYHASH em colaboração com o programa Zero Day Initiative da Trend Micro
Entrada atualizada a 13 de dezembro de 2016
IOAcceleratorFamily
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir provocar uma recusa de serviço
Descrição: foi resolvido um problema de perda de referência do indicador nulo através do bloqueio melhorado.
ID CVE
CVE-2016-1814: Juwei Lin da TrendMicro
IOAcceleratorFamily
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de vulnerabilidade de corrupção da memória através do bloqueio melhorado.
ID CVE
CVE-2016-1819: Ian Beer do Google Project Zero
IOAcceleratorFamily
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de perda de referência do indicador nulo através da validação melhorada.
ID CVE
CVE-2016-1813: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1823: Ian Beer do Google Project Zero
CVE-2016-1824: Marco Grassi (@marcograss) da KeenLab (@keen_lab), Tencent
CVE-2016-4650: Peter Pi da Trend Micro em colaboração com o programa Zero Day Initiative da HP
Kernel
Disponível para: Apple TV (4.ª geração)
Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
libc
Disponível para: Apple TV (4.ª geração)
Impacto: uma aplicação poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.
ID CVE
CVE-2016-1832: Karl Williamson
libxml2
Disponível para: Apple TV (4.ª geração)
Impacto: o processamento de um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1837: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Disponível para: Apple TV (4.ª geração)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1841: Sebastian Apelt
OpenGL
Disponível para: Apple TV (4.ª geração)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1847: Tongbo Luo e Bo Qu da Palo Alto Networks
WebKit
Disponível para: Apple TV (4.ª geração)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá divulgar dados de outro site
Descrição: foi resolvido um problema de registo insuficiente na análise de imagens svg através do registo melhorado.
ID CVE
CVE-2016-1858: um investigador anónimo
WebKit
Disponível para: Apple TV (4.ª geração)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1854: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro
CVE-2016-1855: Tongbo Luo e Bo Qu da Palo Alto Networks
CVE-2016-1856: lokihardt em colaboração com o programa Zero Day Initiative da Trend Micro
CVE-2016-1857: Jeonghoon Shin@A.D.D, Liang Chen, Zhen Feng, wushi da KeenLab, Tencent em colaboração com o programa Zero Day Initiative da Trend Micro
WebKit Canvas
Disponível para: Apple TV (4.ª geração)
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1859: Liang Chen, wushi da KeenLab, Tencent em colaboração com o programa Zero Day Initiative da Trend Micro
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.