Acerca dos conteúdos de segurança da Apple TV 7
Este documento descreve os conteúdos de segurança da Apple TV 7.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
Apple TV 7
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um atacante pode obter credenciais de Wi-Fi
Descrição: um atacante podia imitar um ponto de acesso de Wi-Fi, oferecer uma autenticação por LEAP, quebrar a hash MS-CHAPv1 e utilizar as credenciais derivadas deste processo para autenticar para o ponto de acesso pretendido, mesmo se esse ponto de acesso suportasse métodos de autenticação mais fortes. Este problema foi resolvido através da remoção do suporte para LEAP.
CVE-ID
CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax e Wim Lamotte da Universiteit Hasselt
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um atacante com acesso a um dispositivo pode aceder a informações confidenciais de utilizadores a partir de registos
Descrição: as informações confidenciais de utilizadores eram registadas. Este problema foi resolvido através do registo de menos informações.
CVE-ID
CVE-2014-4357: Heli Myllykoski do OP-Pohjola Group
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um atacante com uma posição privilegiada na rede poderá ser capaz de fazer com que um dispositivo pense que está atualizado, mesmo quando não está
Descrição: existia um problema de validação no processamento de respostas de verificação de atualizações. As datas falsas de cabeçalhos de resposta intitulados Última-alteração com datas futuras eram utilizadas para verificações Se-modificados-desde em pedidos de atualização posteriores. Este problema foi resolvido através da validação do cabeçalho Última-alteração.
CVE-ID
CVE-2014-4383: Raul Siles da DinoSec
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: abrir um ficheiro PDF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a divulgação de informações
Descrição: existia um problema de acesso à memória fora dos limites no processamento de ficheiros PDF. Este problema foi resolvido através da verificação melhorada dos limites.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano da Binamuse VRT em colaboração com o iSIGHT Partners GVP Program
Apple TV
Disponível para: Apple TV (3.ª geração e posterior). Impacto: uma aplicação poderá causar o encerramento inesperado do sistema. Descrição: existia um problema de perda de referência do indicador nulo no processamento de argumentos API do IOAcceleratorFamily. Este problema foi resolvido através da validação melhorada de argumentos da API do IOAcceleratorFamily. CVE-IDCVE-2014-4369: Sarah aka winocm e Cererdlong da Alibaba Mobile Security Team
Impact: An application may cause an unexpected system termination
Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.
CVE-ID
CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team
Entry added February 3, 2020
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um dispositivo pode reiniciar inesperadamente
Descrição: estava presente uma perda de referência do indicador NULL no controlador IntelAccelerator. O problema foi resolvido através do processamento de erros melhorado.
CVE-ID
CVE-2014-4373: cunzhang do Adlab da Venustech
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir ler indicadores do kernel, os quais podem ser utilizados para contornar a aleatoriedade dos espaços dos modelos de endereços do kernel
Descrição: existia um problema de leitura fora dos limites no processamento de uma função do IOHIDFamily. Este problema foi resolvido através da verificação melhorada dos limites.
CVE-ID
CVE-2014-4379: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia uma ultrapassagem do limite máximo do buffer da área dinâmica no processamento de propriedades vitais de mapeamento do IOHIDFamily. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-4404: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia uma perda de referência do indicador nulo no processamento das propriedades vitais do mapeamento do IOHIDFamily. O problema foi resolvido através de uma melhor validação de propriedades vitais de mapeamento do IOHIDFamily.
ID CVE
CVE-2014-4405: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do kernel
Descrição: existia um problema de escrita fora dos limites na extensão do kernel do IOHIDFamily. Este problema foi resolvido através da verificação melhorada dos limites.
ID CVE
CVE-2014-4380: cunzhang de Adlab da Venustech
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá ser capaz de ler dados não inicializados da memória do kernel
Descrição: existia um problema de acesso à memória não inicializada no processamento de funções do IOKit. Este problema foi resolvido através da verificação melhorada dos limites
CVE-ID
CVE-2014-4407: @PanguTeam
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de validação no processamento de determinados campos de metadados de objetos do IODataQueue. Este problema foi resolvido através da validação melhorada de metadados.
CVE-ID
CVE-2014-4418: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema
Descrição: existia um problema de validação no processamento de determinados campos de metadados de objetos do IODataQueue. Este problema foi resolvido através da validação melhorada de metadados.
CVE-ID
CVE-2014-4388: @PanguTeam
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do sistema
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de funções do IOKit. Este problema foi resolvido através da validação melhorada dos argumentos da API do IOKit.
ID CVE
CVE-2014-4389: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um utilizador local poderá conseguir determinar o esquema de memória do kernel
Descrição: existiam vários problemas de memória não inicializada na interface de estatísticas de rede, o que levou à divulgação de conteúdos da memória do kernel. Este problema foi resolvido através da inicialização adicional de memória.
ID CVE
CVE-2014-4371: Fermin J. Serna da Google Security Team
CVE-2014-4419: Fermin J. Serna da Google Security Team
CVE-2014-4420: Fermin J. Serna da Google Security Team
CVE-2014-4421: Fermin J. Serna da Google Security Team
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma pessoa com uma posição privilegiada na rede poderá provocar a recusa de serviço
Descrição: existia um problema de condição de disputa no processamento de pacotes IPv6. Este problema foi resolvido através da verificação melhorada do estado de bloqueio.
CVE-ID
CVE-2011-2391: Marc Heuse
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um utilizador local poderá conseguir provocar o encerramento inesperado do sistema ou a execução de um código arbitrário no kernel
Descrição: existia um problema de libertação dupla no processamento de portas Mach. Este problema foi resolvido através da validação melhorada de portas Mach.
CVE-ID
CVE-2014-4375
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um utilizador local poderá conseguir provocar o encerramento inesperado do sistema ou a execução de um código arbitrário no kernel
Descrição: existia um problema de leitura fora dos limites no rt_setgate. Isto poderá levar à divulgação ou corrupção de memória. Este problema foi resolvido através da verificação melhorada dos limites.
CVE-ID
CVE-2014-4408
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: algumas medidas de fortalecimento do kernel poderão ser contornadas
Descrição: o gerador de números aleatórios "early" utilizado em algumas medidas avançadas do kernel não era criptograficamente seguro e alguns dos seus resultados eram expostos no espaço do utilizador, o que permitia contornar as medidas avançadas. Este problema foi resolvido através da substituição do gerador de números aleatórios por um algoritmo de criptografia seguro e utilizando um de 16 bytes.
CVE-ID
CVE-2014-4422: Tarjei Mandt da Azimuth Security
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios da raiz
Descrição: existia um problema de escrita fora dos limites no Libnotify. Este problema foi resolvido através da verificação melhorada dos limites.
CVE-ID
CVE-2014-4381: Ian Beer do Google Project Zero
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um utilizador local poderá conseguir alterar as permissões de ficheiros arbitrários
Descrição: o syslogd seguia ligações simbólicas ao mesmo tempo que alterava permissões nos ficheiros. Este problema foi resolvido através de um processamento melhorado das ligações simbólicas.
CVE-ID
CVE-2014-4372: Tielei Wang e YeongJin Jang do Georgia Tech Information Security Center (GTISC)
Apple TV
Disponível para: Apple TV (3.ª geração e posterior)
Impacto: um atacante com uma posição privilegiada na rede poderá provocar o encerramento inesperado de uma aplicação ou a execução de código arbitrário
Descrição: existiam vários problemas de corrupção de memória no WebKit. Estes problemas foram resolvidos através do processamento melhorado da memória.
CVE-ID
CVE-2013-6663: Atte Kettunen de OUSPG
CVE-2014-1384: Apple
CVE-2014-1385: Apple
CVE-2014-1387: Google Chrome Security Team
CVE-2014-1388: Apple
CVE-2014-1389: Apple
CVE-2014-4410: Eric Seidel da Google
CVE-2014-4411: Google Chrome Security Team
CVE-2014-4412: Apple
CVE-2014-4413: Apple
CVE-2014-4414: Apple
CVE-2014-4415: Apple
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.