Acerca dos conteúdos de segurança do Apple TV 6.1
Este documento descreve os conteúdos de segurança do Apple TV 6.1.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a Segurança dos produtos da Apple, consulte o site Segurança dos produtos da Apple.
Para obter informações sobre a chave PGP de segurança dos produtos da Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos da Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Apple TV 6.1
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um atacante com acesso a um Apple TV poderá aceder a informações sensíveis acerca do utilizador através dos registos
Descrição: as informações sensíveis acerca do utilizador ficavam registadas. Este problema foi corrigido registando menos informações.
ID CVE
CVE-2014-1279: David Schuetz no Intrepidus Group
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: as datas de validade dos perfis não eram respeitadas
Descrição: as datas de validade dos perfis de configuração móveis não eram corretamente avaliadas. Este problema foi resolvido através do processamento melhorado dos perfis de configuração.
ID CVE
CVE-2014-1267
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: uma aplicação maliciosa pode causar um encerramento inesperado do sistema
Descrição: existia um problema de afirmação acessível no processamento de chamadas IOKit API pelo CoreCapture. Este problema foi corrigido através da validação adicional das entradas do IOKit.
ID CVE
CVE-2014-1271: Filippo Bigarella
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um utilizador local poderá conseguir alterar as permissões de ficheiros arbitrários
Descrição: o CrashHouseKeeping seguia ligações simbólicas ao mesmo tempo que alterava as permissões nos ficheiros. Este problema foi corrigido para que não fossem seguidas ligações simbólicas quando se alteravam as permissões nos ficheiros.
ID CVE
CVE-2014-1272: evad3rs
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: os requisitos de assinatura de código podem ser ignorados
Descrição: as instruções de mudança de texto em bibliotecas dinâmicas poderão ser carregadas pelo dyld sem a validação da assinatura de código. Este problema foi corrigido ignorando as instruções de mudança de texto.
ID CVE
CVE-2014-1273: evad3rs
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: a visualização de um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens JPEG2000 em ficheiros PDF. Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1275: Felix Groebert da equipa de segurança da Google
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: a visualização de um ficheiro TIFF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF por parte do libtiff. Este problema foi resolvido através da validação adicional de imagens TIFF.
ID CVE
CVE-2012-2088
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: a visualização de um ficheiro JPEG criado com intuito malicioso poderá conduzir à divulgação de conteúdos da memória
Descrição: existia um problema de acesso à memória não inicializada no processamento de marcadores JPEG por parte do libjpeg, o que resultava na divulgação dos conteúdos da memória. Este problema foi resolvido através da validação adicional de ficheiros JPEG.
ID CVE
CVE-2013-6629: Michal Zalewski
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um utilizador local poderá causar o encerramento inesperado do sistema ou a execução de um código arbitrário no kernel
Descrição: existia um problema de acesso à memória fora dos limites na função ARM ptmx_get_ioctl. Este problema foi resolvido através de uma melhor verificação dos limites.
ID CVE
CVE-2014-1278: evad3rs
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um perfil de configuração poderá não estar visível para o utilizador
Descrição: um perfil de configuração com um nome longo podia ser carregado para o dispositivo, mas não era apresentado no perfil da IU. Este problema foi corrigido através do processamento melhorado dos nomes de perfil.
ID CVE
CVE-2014-1282: Assaf Hefetz, Yair Amit e Adi Sharabani da Skycure
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: um indivíduo com acesso físico ao dispositivo poderá ser capaz de provocar a execução de um código arbitrário no modo kernel
Descrição: existia um problema de corrupção da memória no processamento de mensagens USB. Este problema foi resolvido através da validação adicional de mensagens USB.
ID CVE
CVE-2014-1287: Andy Davis do NCC Group
WebKit
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através de um melhor processamento da memória.
ID CVE
CVE-2013-2909: Atte Kettunen do OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: equipa de segurança do Google Chrome
CVE-2013-5196: equipa de segurança do Google Chrome
CVE-2013-5197: equipa de segurança do Google Chrome
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: equipa de segurança do Google Chrome
CVE-2013-5228: Keen Team (@K33nTeam) em colaboração com o programa Zero Day Initiative da HP
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) em colaboração com o programa Zero Day Initiative da HP, equipa de segurança do Google Chrome
CVE-2014-1291: equipa de segurança do Google Chrome
CVE-2014-1292: equipa de segurança do Google Chrome
CVE-2014-1293: equipa de segurança do Google Chrome
CVE-2014-1294: equipa de segurança do Google Chrome
Apple TV
Disponível para: Apple TV (2.ª geração e posterior)
Impacto: a reprodução de um vídeo criado com intuito malicioso poderia fazer com que o dispositivo deixasse de responder
Descrição: existia um problema de desreferenciação nula no processamento de ficheiros MPEG-4 codificados. Este problema foi resolvido através da melhoria do processamento da memória.
ID CVE
CVE-2014-1280: rg0rd
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.