Informationen zum Sicherheitsinhalt von tvOS 10.2

In diesem Dokument wird der Sicherheitsinhalt von tvOS 10.2 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

tvOS 10.2

Audio

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2430: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2462: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Carbon

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten DFONT-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu einem Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) vom Tencent Security Platform Department

CoreGraphics

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Die unendliche Rekursion wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2417: riusksk (泉哥) vom Tencent Security Platform Department

CoreGraphics

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2444: Mei Wang vom 360 GearTeam

CoreText

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu einem Denial-of-Service des Programms führen.

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.

CVE-2017-2461: Isaac Archambault, ein anonymer Forscher bei IDAoADI

FontParser

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2487: riusksk (泉哥) vom Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2407: riusksk (泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schrift kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein manipulierter HTTP/2-Server kann undefiniertes Verhalten auslösen

Beschreibung: nghttp2 wies in den Versionen vor 1.17.0 mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von nghttp2 auf Version 1.17.0 behoben.

CVE-2017-2428

ImageIO

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) von KeenLab, Tencent

ImageIO

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Das Anzeigen einer in böser Absicht erstellten JPEG-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2432: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2467

ImageIO

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem unerwarteten Programmabbruch führen

Beschreibung: In den LibTIFF-Versionen vor Version 4.0.7 erfolgte ein Out-of-Bound-Lesevorgang. Dieses Problem wurde durch Aktualisieren von LibTIFF in ImageIO auf Version 4.0.7 behoben.

CVE-2016-3619

JavaScriptCore

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2491: Apple

JavaScriptCore

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen

Beschreibung: Ein Prototypenproblem wurde durch verbesserte Logik behoben.

CVE-2017-2492: lokihardt von Google Project Zero

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2401: Lufeng Li vom Qihoo 360 Vulcan Team

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2440: Ein anonymer Forscher

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: Eine Race-Bedingung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2456: lokihardt von Google Project Zero

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2472: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2473: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem vom Typ "off-by-one" wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2474: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2017-2478: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2482: Ian Beer von Google Project Zero

CVE-2017-2483: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit erhöhten Benutzerrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2490: Ian Beer von Google Project Zero, Britisches National Cyber Security Centre (NCSC)

Tastaturen

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code ausführen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2458: Shashank (@cyberboyIndia)

Schlüsselbund

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer, der in der Lage ist, TLS-Verbindungen abzufangen, kann möglicherweise durch den iCloud-Schlüsselbund geschützte Informationen lesen.

Beschreibung: Unter bestimmten Umständen konnte der iCloud-Schlüsselbund die Echtheit von OTR-Paketen nicht überprüfen. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2448: Alex Radocea von Longterm Security, Inc.

libarchive

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein lokaler Angreifer kann die Dateisystemberechtigungen für willkürliche Verzeichnisse ändern

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung von Symlinks behoben.

CVE-2017-2390: Omer Medan von enSilo Ltd

libc++abi

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Das Demangling eines schädlichen C++-Programms kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2441

libxslt

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Mehrere Schwachstellen in libxslt

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-5029: Holger Fuhrmannek

Sicherheit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2451: Alex Radocea von Longterm Security, Inc.

Sicherheit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten x509-Zertifikats kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Analyse von Zertifikaten kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2485: Aleksandar Nikolic von Cisco Talos

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.

CVE-2017-2386: André Bargull

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric von Google Project Zero, Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2455: Ivan Fratric von Google Project Zero

CVE-2017-2459: Ivan Fratric von Google Project Zero

CVE-2017-2460: Ivan Fratric von Google Project Zero

CVE-2017-2464: natashenka von Google Project Zero, Jeonghoon Shin

CVE-2017-2465: Zheng Huang und Wei Yuan von Baidu Security Lab

CVE-2017-2466: Ivan Fratric von Google Project Zero

CVE-2017-2468: lokihardt von Google Project Zero

CVE-2017-2469: lokihardt von Google Project Zero

CVE-2017-2470: lokihardt von Google Project Zero

CVE-2017-2476: Ivan Fratric von Google Project Zero

CVE-2017-2481: 0011 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2415: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu starker Speichernutzung führen

Beschreibung: Ein Problem mit unkontrollierter Ressourcennutzung wurde durch eine verbesserte regex-Verarbeitung behoben.

CVE-2016-9643: Gustavo Grieco

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2367: lokihardt von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Bei der Verarbeitung von Frame-Objekten kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2445: lokihardt von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Bei der Verarbeitung von Strict-Mode-Funktionen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2446: natashenka von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann Benutzerdaten kompromittieren

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2447: natashenka von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2463: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Bei der Frame-Verarbeitung bestand ein Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2475: lokihardt von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2479: lokihardt von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2480: lokihardt von Google Project Zero

CVE-2017-2493: lokihardt von Google Project Zero

Zusätzliche Danksagung

XNU

Wir danken Lufeng Li vom Qihoo 360 Vulcan Team für die Unterstützung.