Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".
Apple TV 6.0
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von JBIG2-codierten Daten existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-1025: Felix Groebert vom Google-Sicherheitsteam
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Die Wiedergabe einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von mit Sorenson codierten Filmdateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-1019: Tom Gallagher (Microsoft) und Paul Bates (Microsoft) in Zusammenarbeit mit der Zero Day Initiative von HP
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Ein Angreifer mit höheren Netzwerkrechten kann Berechtigungsnachweise eines Benutzers oder andere sensible Daten abfangen
Beschreibung: TrustWave, eine vertrauenswürdige Root CA, hat ein Sub-CA-Zertifikat von einem ihrer Vertrauensanker ausgegeben und wieder zurückgezogen. Diese Sub-CA ermöglichte das Abfangen der mit TLS (Transport Layer Security) gesicherten Kommunikation. Dieses Update fügte das betreffende Sub-CA-Zertifikat zur OS X-Liste der nicht vertrauenswürdigen Zertifikate hinzu.
CVE-ID
CVE-2013-5134
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Ein Angreifer, der willkürlichen Code auf einem Gerät ausführt, kann möglicherweise dafür sorgen, dass Code auch nach mehreren Neustarts ausgeführt wird
Beschreibung: In der Dyld-Funktion openSharedCacheFile () existierten mehrere Pufferüberläufe. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-3950: Stefan Esser
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von JPEG2000-codierten Daten in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-1026: Felix Groebert vom Google-Sicherheitsteam
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Ein böswilliges lokale Programm konnte einen unerwarteten Systemabbruch verursachen
Beschreibung: In IOCatalogue gab es einen Rückverweis auf einen Nullzeiger. Das Problem wurde durch eine verbesserte Typüberprüfung behoben.
CVE-ID
CVE-2013-5138: Will Estes
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Das Ausführen eines böswilligen Programms kann im Kernel zur Ausführung willkürlichen Codes führen
Beschreibung: Im IOSSerialFamily-Treiber gab es einen grenzüberschreitenden Array-Zugriff. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-5139: @dent1zt
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Neustart eines Geräts verursachen
Beschreibung: Das Senden eines ungültigen Paketfragments an ein Gerät kann dazu führen, dass ein Kernel-Assert ausgelöst und somit ein Neustart des Geräts verursacht wird. Das Problem wurde durch eine zusätzliche Überprüfung der Paketfragmente behoben.
CVE-ID
CVE-2013-5140: Joonas Kuorilehto von Codenomicon, ein anonymer Forscher in Zusammenarbeit mit CERT-FI, Antti Levomäki und Lauri Virtanen der Vulnerability Analysis Group, Stonesoft
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Ein Angreifer in einem lokalen Netzwerk kann ein Denial-of-Service verursachen
Beschreibung: Ein Angreifer in einem lokalen Netzwerk kann speziell erstellte IPv6 ICMP-Pakete senden und zu einer hohen CPU-Auslastung führen. Das Problem wurde durch eine zeitbezogene Begrenzung der ICMP-Pakete vor der Überprüfung der Prüfsumme behoben.
CVE-ID
CVE-2011-2391: Marc Heuse
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Der Kernel-Stack-Speicher wird möglicherweise lokalen Benutzern offengelegt
Beschreibung: In den msgctl- und segctl-APIs kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine Initialisierung der vom Kernel zurückgegebenen Datenstrukturen behoben.
CVE-ID
CVE-2013-5142: Kenzley Alphonse von Kenx Technology, Inc
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Nicht privilegierte Prozesse konnten Zugriff auf den Inhalt des Kernel-Speichers erhalten, was zu einer Privilegieneskalation führen konnte
Beschreibung: In der API mach_port_space_info kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine Initialisierung des Feldes iin_collision in vom Kernel zurückgegebenen Strukturen behoben.
CVE-ID
CVE-2013-3953: Stefan Esser
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Nicht privilegierte Prozesse können möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen
Beschreibung: Bei der Verarbeitung von Argumenten an die API posix_spawn existierte ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2013-3954: Stefan Esser
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Ein unberechtigter Prozess modifiziert möglicherweise den Satz geladener Kernel-Erweiterungen
Beschreibung: Bei der Verarbeitung von IPC-Meldungen von nicht authentifizierten Absendern durch kextd trat ein Problem auf. Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.
CVE-ID
CVE-2013-5145: "Rainbow PRISM"
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In libxml gab es mehrere Speicherfehler. Diese Probleme wurden durch die Aktualisierung von libxml auf Version 2.9.0 behoben.
CVE-ID
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: Google Chrome-Sicherheitsteam (Jüri Aedla)
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In libxslt gab es mehrere Speicherfehler. Diese Probleme wurden durch die Aktualisierung von libxslt auf Version 1.1.28 behoben.
CVE-ID
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Kai Lu von Fortinet's FortiGuard Labs, Nicolas Gregoire
-
Apple TV
Verfügbar für: Apple TV 2. Generation und neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2013-0879: Atte Kettunen von OUSPG
CVE-2013-0991: Jay Civelli von der Chromium-Entwicklergemeinde
CVE-2013-0992: Google Chrome-Sicherheitsteam (Martin Barbella)
CVE-2013-0993: Google Chrome-Sicherheitsteam (Inferno)
CVE-2013-0994: David German von Google
CVE-2013-0995: Google Chrome-Sicherheitsteam (Inferno)
CVE-2013-0996: Google Chrome-Sicherheitsteam (Inferno)
CVE-2013-0997: Vitaliy Toropov in Zusammenarbeit mit der HP Zero Day Initiative
CVE-2013-0998: pa_kt in Zusammenarbeit mit der Zero Day Initiative von HP
CVE-2013-0999: pa_kt in Zusammenarbeit mit der Zero Day Initiative von HP
CVE-2013-1000: Fermin J. Serna vom Google-Sicherheitsteam
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Google Chrome-Sicherheitsteam (Inferno)
CVE-2013-1004: Google Chrome-Sicherheitsteam (Martin Barbella)
CVE-2013-1005: Google Chrome-Sicherheitsteam (Martin Barbella)
CVE-2013-1006: Google Chrome-Sicherheitsteam (Martin Barbella)
CVE-2013-1007: Google Chrome-Sicherheitsteam (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1011
CVE-2013-1037: Google Chrome-Sicherheitsteam
CVE-2013-1038: Google Chrome-Sicherheitsteam
CVE-2013-1039: own-hero Research in Zusammenarbeit mit iDefense VCP
CVE-2013-1040: Google Chrome-Sicherheitsteam
CVE-2013-1041: Google Chrome-Sicherheitsteam
CVE-2013-1042: Google Chrome-Sicherheitsteam
CVE-2013-1043: Google Chrome-Sicherheitsteam
CVE-2013-1044: Apple
CVE-2013-1045: Google Chrome-Sicherheitsteam
CVE-2013-1046: Google Chrome-Sicherheitsteam
CVE-2013-1047: miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: Google Chrome-Sicherheitsteam
CVE-2013-5126: Apple
CVE-2013-5127: Google Chrome-Sicherheitsteam
CVE-2013-5128: Apple