Informationen zum Sicherheitsinhalt von Apple TV 7

In diesem Dokument wird der Sicherheitsinhalt von Apple TV 7 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

Apple TV 7

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Ein Angreifer kann WLAN-Berechtigungsnachweise erlangen.

    Beschreibung: Ein Angreifer könnte einen WLAN-Zugangspunkt vorgetäuscht haben, eine Authentifizierung mit LEAP angeboten haben, den MS-CHAPv1-Hash geknackt und die daraus abgeleiteten Berechtigungsnachweise verwendet haben, um sich beim beabsichtigten Zugangspunkt zu authentifizieren, selbst wenn dieser Zugangspunkt stärkere Authentifizierungsmethoden unterstützte. Dieses Problem wurde durch das Entfernen der Unterstützung von LEAP behoben.

    CVE-ID

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax und Wim Lamotte von der Universiteit Hasselt

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Ein Angreifer mit Zugang zu einem Gerät kann über Protokolle auf vertrauliche Benutzerdaten zugreifen.

    Beschreibung: Vertrauliche Benutzerdaten wurden protokolliert. Dieses Problem wurde dadurch behoben, dass weniger Daten protokolliert werden.

    CVE-ID

    CVE-2014-4357 : Heli Myllykoski von der OP-Pohjola Group

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann verursachen, dass ein Gerät davon ausgeht, dass es aktuell sei, selbst wenn dies nicht der Fall ist.

    Beschreibung: Es bestand ein Validierungsproblem bei der Verarbeitung von Antworten zur Update-Überprüfung. Für If-Modified-Since-Überprüfungen wurden in nachfolgenden Aktualisierungsanforderungen vorgetäuschte Datumsangaben von Last-Modified-Antwortkopfzeilen verwendet, die auf in der Zukunft liegende Daten eingestellt waren. Dieses Problem wurde durch eine Überprüfung der Last-Modified-Kopfzeile behoben.

    CVE-ID

    CVE-2014-4383 : Raul Siles von DinoSec

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit iSIGHT Partners GVP Program

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zum unerwarteten Programmabbruch oder zur Offenlegung von Informationen führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien konnten Lesevorgänge außerhalb der Begrenzungen des Arbeitsspeicher auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit iSIGHT Partners GVP Program

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer. Auswirkung: Ein Programm kann einen unerwarteten Systemabbruch verursachen. Beschreibung: Bei der Verarbeitung von IOAcceleratorFamily-API-Argumenten existierte ein NULL-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Überprüfung von IOAcceleratorFamily-API-Argumenten behoben. CVE-IDCVE-2014-4369 : Sarah, auch bekannt als winocm, und Cererdlong vom Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry added February 3, 2020

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Das Gerät kann unerwartet neu starten.

    Beschreibung: Im IntelAccelerator-Treiber existierte ein NULL-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Fehlerverarbeitung behoben.

    CVE-ID

    CVE-2014-4380: cunzhang von Adlab von Venustech

  • Apple TV

    Verfügbar für: Apple TV (3: Generation) und neuer

    Auswirkung: Ein in böser Absicht erstelltes Programm kann möglicherweise Kernel-Zeiger lesen, die zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden können.

    Beschreibung: Bei der Verarbeitung einer IOHIDFamily-Funktion trat ein Problem mit Lesevorgängen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4405: Ian Beer von Google Project Zero

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: Bei der Verarbeitung von Schlüsselzuordnungseigenschaften in IOHIDFamily trat ein Stapelpufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4404: Ian Beer von Google Project Zero

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: Bei der Verarbeitung von Schlüsselzuordnungseigenschaften in IOHIDFamily gab es einen Null-Zeiger-Rückverweis. Dieses Problem wurde durch eine verbesserte Überprüfung von IOHIDFamily-Schlüsselzuordnungseigenschaften behoben.

    CVE-ID

    CVE-2014-4405: Ian Beer von Google Project Zero

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: In der IOHIDFamily-Kernelerweiterung trat ein Problem aufgrund eines Schreibvorgangs außerhalb der Grenzen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4380: cunzhang von Adlab von Venustech

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Ein in böser Absicht erstelltes Programm könnte nicht initialisierte Daten aus dem Kernelspeicher lesen.

    Beschreibung: Bei der Verarbeitung von IOKit-Funktionen existierte ein Problem mit einem nicht initialisierten Speicherzugriff. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung behoben.

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: Es existierte ein Validierungsproblem bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten. Dieses Problem wurde durch eine verbesserte Überprüfung von Metadaten behoben.

    CVE-ID

    CVE-2014-4418 : Ian Beer von Google Project Zero

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: Es existierte ein Validierungsproblem bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten. Dieses Problem wurde durch eine verbesserte Überprüfung von Metadaten behoben.

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • Apple TV

    CVE-2014-4389: Ian Beer von Google Project Zero

    Impact: A malicious application may be able to execute arbitrary code with system privileges

    Description: An integer overflow existed in the handling of IOKit functions. This issue was addressed through improved validation of IOKit API arguments.

    CVE-ID

    CVE-2014-4389 : Ian Beer of Google Project Zero

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Ein lokaler Benutzer konnte das Kernel-Speicher-Layout ermitteln.

    Beschreibung: Es bestanden mehrere Probleme mit nicht initialisiertem Speicher in der Netzwerkstatistik-Schnittstelle, was zur Offenlegung von Kernelspeicherinhalten führte. Dieses Problem wurde durch eine zusätzliche Speicherinitialisierung behoben.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna vom Google-Sicherheitsteam

    CVE-2014-4419: Fermin J. Serna vom Google-Sicherheitsteam

    CVE-2014-4420: Fermin J. Serna vom Google-Sicherheitsteam

    CVE-2014-4421: Fermin J. Serna vom Google-Sicherheitsteam

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Eine Person in einer privilegierten Netzwerkposition konnte einen Denial-of-Service verursachen.

    Beschreibung: Bei der Verarbeitung von IPv6-Paketen existierte eine Race-Bedingung. Dieses Problem wurde durch eine verbesserte Sperrstatusüberprüfung behoben.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Ein lokaler Benutzer kann unter Umständen einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.

    Beschreibung: Bei der Verarbeitung von Mach-Ports kam es zu einem Double-Free-Problem. Dieses Problem wurde durch eine verbesserte Überprüfung von Mach-Ports behoben.

    CVE-ID

    CVE-2014-4375

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Ein lokaler Benutzer kann unter Umständen einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.

    Beschreibung: In rt_setgate bestand ein grenzüberschreitendes Ausleseproblem. Dies kann zu Speicherpreisgabe oder Speicherkorruption führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4408

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Manche Kernel-Härtungsmaßnahmen können umgangen werden.

    Beschreibung: Der vorherige Zufallszahlengenerator, der in manchen Kernel-Härtungsmaßnahmen verwendet wurde, war kryptografisch nicht sicher, und manche seiner Ausgaben waren dem Benutzerraum ausgesetzt, wodurch die Härtungsmaßnahmen umgangen werden konnten. Das Problem wurde behoben, indem der Zufallszahlengenerator durch einen kryptografisch sicheren Algorithmus ersetzt wurde und ein 16-Byte-Seed verwendet wird.

    CVE-ID

    CVE-2014-4422 : Tarjei Mandt von Azimuth Security

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Root-Rechten ausführen.

    Beschreibung: In Libnotify trat ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4381 : Ian Beer von Google Project Zero

  • Apple TV

    Verfügbar für: Apple TV (3. Generation) und neuer

    Auswirkung: Ein lokaler Benutzer könnte die Zugriffsberechtigungen beliebiger Dateien ändern.

    Beschreibung: syslogd folgte beim Ändern der Zugriffsrechte von Dateien symbolischen Links. Dieses Problem wurde durch eine verbesserte Verarbeitung der symbolischen Links behoben.

    CVE-ID

    CVE-2014-4372 : Tielei Wang und YeongJin Jang vom Georgia Tech Information Security Center (GTISC)

  • Apple TV

    Verfügbar für: Apple TV 3. Generation und neuer

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2013-6663 : Atte Kettunen von OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : Google Chrome Security Team

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel von Google

    CVE-2014-4411 : Google Chrome Security Team

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 : Apple

    CVE-2014-4415 : Apple

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: