Acerca dos conteúdos de segurança da Atualização de software 4.4 da Apple TV
Este documento descreve os conteúdos de segurança da Atualização de software 4.4 da Apple TV.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple.
Atualização de software 4.4 da Apple TV
Apple TV
Disponível para: Apple TV da versão 4.0 à 4.3
Impacto: um atacante com uma posição privilegiada na rede pode intercetar as credenciais do utilizador ou outras informações sensíveis
Descrição: os certificados fraudulentos foram emitidos por várias autoridades de certificação geridas pela DigiNotar. Este problema é resolvido ao remover a DigiNotar da lista de certificados de raiz fiáveis, da lista de autoridades de certificação de Validação Alargada (EV) e ao configurar as definições de confiança do sistema predefinidas para que os certificados da DigiNotar, incluindo os emitidos por outras autoridades, não sejam fiáveis.
Apple TV
Disponível para: Apple TV da versão 4.0 à 4.3
Impacto: o suporte para certificados X.509 com códigos hash MD5 pode expor os utilizadores à falsificação e divulgação de informações à medida que os ataques melhoram
Descrição: os certificados assinados com o algoritmo de código hash MD5 foram aceites pelo iOS. Este algoritmo tem fragilidades criptográficas conhecidas. Uma investigação mais aprofundada ou uma autoridade de certificação mal configurada poderia ter permitido a criação de certificados X.509 com valores controlados pelo atacante que teriam sido aceites pelo sistema. Esta situação teria exposto os protocolos baseados em X.509 a falsificações, ataques do tipo "man in the middle" e divulgação de informações. Esta atualização desativa o suporte para um certificado X.509 com um código hash MD5 para qualquer utilização que não seja como um certificado de raiz fidedigno.
CVE-ID
CVE-2011-3427
Apple TV
Disponível para: Apple TV da versão 4.0 à 4.3
Impacto: um atacante pode desencriptar parte de uma ligação SSL
Descrição: apenas as versões SSLv3 e TLS 1.0 de SSL eram suportadas. Estas versões estão sujeitas a uma falha de protocolo quando utilizam cifras de bloco. Um atacante do tipo "man-in-the-middle" poderia ter injetado dados inválidos, provocando o encerramento da ligação, mas revelando algumas informações sobre os dados anteriores. Se a mesma ligação fosse tentada repetidamente, o atacante podia acabar por conseguir desencriptar os dados enviados, como uma palavra-passe. Este problema é resolvido com a adição de suporte para TLS 1.2.
CVE-ID
CVE-2011-3389
Apple TV
Disponível para: Apple TV da versão 4.0 à 4.3
Impacto: a visualização de uma imagem TIFF criada de forma maliciosa pode resultar no encerramento inesperado da aplicação ou na execução arbitrária de código
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no tratamento de imagens TIFF codificadas pelo CCITT Group 4 pela libTIFF.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Disponível para: Apple TV da versão 4.0 à 4.3
Impacto: a visualização de uma imagem TIFF criada de forma maliciosa pode levar ao encerramento inesperado da aplicação ou à execução arbitrária de código
Descrição: existia um problema de ultrapassagem do limite máximo do buffer da pilha no tratamento de imagens TIFF codificadas pelo CCITT Group 4 pelo ImageIO.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX da Tessi Technologies
Apple TV
Disponível para: Apple TV da versão 4.0 à 4.3
Impacto: um atacante remoto pode provocar o reinício do dispositivo
Descrição: o kernel falhou ao recuperar prontamente a memória de ligações TCP incompletas. Um atacante com a capacidade de se ligar a um serviço de escuta num dispositivo iOS pode esgotar os recursos do sistema.
CVE-ID
CVE-2011-3259: Wouter van der Veer, da Topicus I&I, e Josh Enders
Apple TV
Disponível para: Apple TV da versão 4.0 à 4.3
Impacto: um atacante com uma posição de rede privilegiada pode causar um encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: existia um problema de ultrapassagem do limite máximo do buffer da pilha de um byte no tratamento de dados XML pela libxml.
CVE-ID
CVE-2011-0216: Billy Rios da equipa de segurança da Google
Apple TV
Disponível para: Apple TV da versão 4.0 à 4.3
Impacto: um atacante com uma posição de rede privilegiada pode causar um encerramento inesperado da aplicação ou a execução arbitrária de código
Descrição: existia um problema de corrupção de memória no JavaScriptCore.
CVE-ID
CVE-2011-3232: Aki Helin do OUSPG
Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.