Informationen zum Sicherheitsinhalt von tvOS 11
In diesem Dokument wird der Sicherheitsinhalt von tvOS 11 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
tvOS 11
802.1X
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer kann Schwachstellen in TLS 1.0 ausnutzen
Beschreibung: Ein Problem mit der Protokollsicherheit wurde durch Aktivieren von TLS 1.1 und TLS 1.2 behoben.
CVE-2017-13832: Doug Wussler von der Florida State University
CFNetwork
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13829: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-13833: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CFNetwork-Proxys
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service verursachen
Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7083: Abhinav Bansal von Zscaler Inc.
CoreAudio
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Lesevorgang außerhalb der Speicherbegrenzungen wurde durch Aktualisieren auf die Opus-Version 1.1.4 behoben.
CVE-2017-0381: V.E.O (@VYSEa) vom Mobile Threat Research Team, Trend Micro
CoreText
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
file
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Mehrere Probleme in file
Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 5.31 behoben.
CVE-2017-13815: Gefunden von OSS-Fuzz
Fonts
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Rendern von nicht vertrauenswürdigem Text kann zu Spoofing führen
Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-13828: Leonard Grey und Robert Sesek von Google Chrome
HFS
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13830: Sergej Schumilo von der Ruhr-Universität Bochum
ImageIO
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13831: Glen Carmichael
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen
Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13818: Britisches National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Ein anonymer Forscher
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13843: Ein anonymer Forscher, ein anonymer Forscher
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7114: Alex Plaskett von MWR InfoSecurity
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13854: shrek_wzw vom Qihoo 360 Nirvan Team
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer fehlerhaft erstellten Mach-Binärdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Schadprogramm kann Informationen zur Installation und Ausführung von anderen Programmen auf dem Gerät auslesen.
Beschreibung: Ein Programm hatte unbeschränkten Zugriff auf Informationen zur Netzwerkaktivität des Betriebssystems. Das Problem wurde behoben, indem der Zugang zu Informationen für Drittanbieterprogramme eingeschränkt wurde.
CVE-2017-13873: Xiaokuan Zhang und Yinqian Zhang von der Ohio State University, Xueqiang Wang und Xiaofeng Wang von der Indiana University Bloomington und Xiaolong Bai von der Tsinghua University
libarchive
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13813: Gefunden von OSS-Fuzz
CVE-2017-13816: Gefunden von OSS-Fuzz
libarchive
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: In libarchive kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13812: Gefunden von OSS-Fuzz
libc
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen
Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung in glob() durch einen verbesserten Algorithmus behoben.
CVE-2017-7086: Russ Cox von Google
libc
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann einen Denial-of-Service verursachen
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-1000373
libexpat
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Mehrere Probleme in expat
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 2.2.1 behoben.
CVE-2016-9063
CVE-2017-9233
libxml2
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-9049: Wei Lei und Liu Yang - Nanyang Technological University in Singapur
libxml2
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-5130: Ein anonymer Forscher
CVE-2017-7376: Ein anonymer Forscher
libxml2
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-9050: Mateusz Jurczyk (j00ru) von Google Project Zero
Übersicht
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Sicherheit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Einem widerrufenen Zertifikat wird möglicherweise vertraut
Beschreibung: Bei der Verarbeitung von Widerrufsdaten bestand ein Problem bei der Überprüfung von Zertifikaten. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-7080: Ein anonymer Forscher, Sven Driemecker von adesso mobile solutions GmbH, Rune Darrud (@theflyingcorpse) aus der Kommune Bærum, ein anonymer Forscher
SQLite
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Mehrere Probleme in SQLite
Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 3.19.3 behoben.
CVE-2017-10989: Gefunden von OSS-Fuzz
CVE-2017-7128: Gefunden von OSS-Fuzz
CVE-2017-7129: Gefunden von OSS-Fuzz
CVE-2017-7130: Gefunden von OSS-Fuzz
SQLite
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7127: Ein anonymer Forscher
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-7081: Apple
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7092: Qixun Zhao (@S0rryMybad) vom Qihoo 360 Vulcan Team, Samuel Gro und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7093: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7094: Tim Michaud (@TimGMichaud) von der Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7096: Wei Yuan vom Baidu Security Lab
CVE-2017-7098: Felipe Freitas vom Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa und Mario Heiderich von Cure53
CVE-2017-7102: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University
CVE-2017-7104: likemeng vom Baidu Secutity Lab
CVE-2017-7107: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University
CVE-2017-7111: likemeng vom Baidu Security Lab (xlab.baidu.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7117: lokihardt von Google Project Zero
CVE-2017-7120: chenqin (陈钦) vom Ant-financial Light-Year Security Lab
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Cookies von einer Quelle können an eine andere Quelle gesendet werden
Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde behoben, indem keine Cookies für benutzerdefinierte URL-Schemata mehr zurückgegeben werden.
CVE-2017-7090: Apple
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen
Beschreibung: Die Anwendungscache-Richtlinie wird möglicherweise unerwartet angewendet.
CVE-2017-7109: avlidienbrunn
WLAN
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-11120: Gal Beniamini von Google Project Zero
CVE-2017-11121: Gal Beniamini von Google Project Zero
WLAN
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7103: Gal Beniamini von Google Project Zero
CVE-2017-7105: Gal Beniamini von Google Project Zero
CVE-2017-7108: Gal Beniamini von Google Project Zero
CVE-2017-7110: Gal Beniamini von Google Project Zero
CVE-2017-7112: Gal Beniamini von Google Project Zero
WLAN
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen
Beschreibung: Mehrere Race-Bedingungen wurden durch eine verbesserte Überprüfung behoben.
CVE-2017-7115: Gal Beniamini von Google Project Zero
WLAN
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann beschränkten Kernel-Speicher auslesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-7116: Gal Beniamini von Google Project Zero
WLAN
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann möglicherweise beschränkten Speicher des WLAN-Chips lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-11122: Gal Beniamini von Google Project Zero
zlib
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Mehrere Probleme in zlib
Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 1.2.11 behoben.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Zusätzliche Danksagung
Sicherheit
Wir danken Abhinav Bansal von Zscaler, Inc. für die Unterstützung.
WebKit
Wir danken Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter für die Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.