Informationen zum Sicherheitsinhalt des Apple TV-Softwareupdates 4.4
In diesem Dokument wird der Sicherheitsinhalt des Apple TV-Softwareupdates 4.4 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.
Apple TV-Softwareupdate 4.4
Apple TV
Verfügbar für: Apple TV 4.0 bis 4.3
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann möglicherweise Anmeldedaten oder andere vertrauliche Daten von Benutzern abfangen.
Beschreibung: Mehrere von DigiNotar betriebene Zertifizierungsstellen haben betrügerische Zertifikate ausgestellt. Dieses Problem wurde behoben, indem DigiNotar von der Liste vertrauenswürdiger Root-Zertifikate sowie von der Liste der Extended Validation (EV)-Zertifizierungsstellen entfernt wurde und indem die standardmäßigen Vertrauenseinstellungen des Systems so konfiguriert wurden, dass DigiNotar-Zertifikate (auch solche, die von anderen Stellen ausgegeben werden) als nicht vertrauenswürdig eingestuft werden.
Apple TV
Verfügbar für: Apple TV 4.0 bis 4.3
Auswirkung: Durch die Unterstützung von X.509-Zertifikaten mit MD5-Hashes können Benutzer dem Spoofing und der Offenlegung von Daten ausgesetzt werden, wenn die Angriffe besser werden.
Beschreibung: iOS akzeptierte Zertifikate, die mit dem MD5-Hash-Algorithmus signiert wurden. Dieser Algorithmus weist bekannte kryptografische Schwachstellen auf. Weitere Nachforschungen oder eine falsch konfigurierte Zertifizierungsstelle könnten die Erstellung von X.509-Zertifikaten mit vom Angreifer festgelegten Werten ermöglicht haben, die das System als vertrauenswürdige eingestuft hätte. Dadurch wären X.509-basierte Protokolle dem Spoofing, Man-in-the-Middle-Angriffen und der Offenlegung von Daten ausgesetzt gewesen. Dieses Update beschränkt die Unterstützung von X.509-Zertifikaten mit MD5-Hash auf den Einsatz als vertrauenswürdiges Root-Zertifikat.
CVE-ID
CVE-2011-3427
Apple TV
Verfügbar für: Apple TV 4.0 bis 4.3
Auswirkung: Ein Angreifer kann möglicherweise einen Teil einer SSL-Verbindung entschlüsseln.
Beschreibung: Es wurden nur die SSLv3- und die TLS 1.0-Version von SSL unterstützt. Bei diesen Versionen bestehen Protokollschwächen, wenn Blockchiffres verwendet werden. Bei einem Man-in-the-Middle-Angriff hätte der Angreifer ungültige Daten einspeisen können, sodass zwar die Verbindung geschlossen worden wäre, aber einige Informationen zu vorherigen Daten offengelegt worden wären. Bei wiederholten Versuchen mit derselben Verbindung hätte der Angreifer möglicherweise schließlich in der Lage sein können, die übertragenen Daten (z. B. ein Passwort) zu entschlüsseln. Dieses Problem wird durch Hinzufügen der Unterstützung von TLS 1.2 behoben.
CVE-ID
CVE-2011-3389
Apple TV
Verfügbar für: Apple TV 4.0 bis 4.3
Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch libTIFF gab es einen Pufferüberlauf.
CVE-ID
CVE-2011-0192: Apple
Apple TV
Verfügbar für: Apple TV 4.0 bis 4.3
Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch ImageIO gab es einen Heap-Pufferüberlauf.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX von Tessi Technologies
Apple TV
Verfügbar für: Apple TV 4.0 bis 4.3
Auswirkung: Ein entfernter Angreifer kann zum Zurücksetzen eines Geräts führen.
Beschreibung: Dem Kernel gelang es nicht, Speicher zeitnah von unvollständigen TCP-Verbindungen zurückzufordern. Ein Angreifer, der eine Verbindung mit einem Abhördienst auf einem iOS-Gerät herstellen kann, könnte die Systemressourcen erschöpfen.
CVE-ID
CVE-2011-3259: Wouter van der Veer von Topicus I&I und Josh Enders
Apple TV
Verfügbar für: Apple TV 4.0 bis 4.3
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Bei der Verarbeitung von XML durch libxml bestand ein 1-Byte-Heap-Pufferüberlauf.
CVE-ID
CVE-2011-0216: Billy Rios vom Google-Sicherheitsteam
Apple TV
Verfügbar für: Apple TV 4.0 bis 4.3
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: In JavaScriptCore gab es einen Speicherfehler.
CVE-ID
CVE-2011-3232: Aki Helin von OUSPG
Wichtig: Der Hinweis auf Websites und Produkte von Drittanbietern erfolgt ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Informationen und Produkten auf Websites von Drittanbietern. Apple stellt diese Informationen seinen Kunden lediglich als Serviceleistung zur Verfügung. Apple hat die auf diesen Websites gefundenen Informationen nicht geprüft und übernimmt keine Gewähr für ihre Genauigkeit oder Zuverlässigkeit. Die Verwendung von Informationen oder Produkten im Internet birgt Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Wir bitten um Verständnis, dass Websites von Drittanbietern von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Website hat. Weitere Informationen sind beim Anbieter erhältlich.