La nueva versión disponible de Apple TV es la 4.4.1 – ya que la versión 4.4 fue parcheada debido a que en algunos dispositivos se exigia la conexión a iTunes para terminar el proceso de instalación – y presenta los siguientes parches:
- Los certificados falso emitidos por DigiNotar son anulados en esta versión. Se resuelve eliminando los certificados de DigiNotar de la lista de certificados de confianza, también de la lista de los de validación extendida y cambiando la configuración por defecto para que los certificadosDigiNotar no sean de confianza.
- CVE-2011-3427. Los certificados firmados usando el algoritmo MD5 fueron aceptadas por iOS. Este algoritmo ha sido comprometido con debilidades criptográficas. Una autoridad de certificación mal configurada podría haber permitido la creación de estos certificados con valores controlados por el atacante. Esta actualización desactiva el soporte para utilizar un certificado X.509 con un hash MD5.
- CVE-2011-3389. TLSv1 y SSLv3 se admiten en iOS. Estas versiones están sujetos a una debilidad cuando se utiliza el protocolo cifrado por bloques. Con un ataque Man In The Middle, MiTM, podría inyectar datos no válidos, haciendo que la conexión se cierre o que revele datos. Este problema se soluciona añadiendo soporte para TLSv1.2.
- CVE-2011-0192. La visualización de una imagen TIFF creada de manera malintencionada puede provocar la finalización inesperada de la aplicación o ejecución de código arbitrario. Ocurre algo similar con la CVE-2011-0241.
- CVE-2011-3259. El kernel no puede recuperarse de manera ágil de las conexiones TCP incompletas en memoria. Un intruso con habilidad podría realizar un ataque DOS contra el protocolo TCP.
- CVE-2011-0216. Desbordamiento de pila en el manejo de datos XML con libxml.
- CVE-2011-3232. Corrupción de memoria en JavaScriptCore. Un atacante podría ejecutar código remoto o hacer finalizar la aplicación de manera inesperada.
Via: SeguridadApple
