Informationen zum Sicherheitsinhalt von tvOS 12.1.2

In diesem Dokument wird der Sicherheitsinhalt von tvOS 12.1.2 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

tvOS 12.1.2

AppleKeyStore

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-6235: Brandon Azad

CoreAnimation

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-6231: Zhuo Liang vom Qihoo 360 Nirvan Team

CoreAnimation

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6230: Proteas, Shrek_wzw und Zhuo Liang vom Qihoo 360 Nirvan Team

FaceTime

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Remote-Angreifer ist möglicherweise in der Lage, einen FaceTime-Anruf zu initiieren, der ein willkürliches Ausführen von Code verursacht

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6224: natashenka von Google Project Zero

IOKit

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6214: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-6225: Brandon Azad von Google Project Zero, Qixun Zhao vom Qihoo 360 Vulcan Team

Kernel

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6210: Ned Williamson von Google

Kernel

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann unerwartete Änderungen im Arbeitsspeicher, der von Prozessen gemeinsam genutzt wird, verursachen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung des Sperrstatus behoben.

CVE-2019-6205: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-6213: Ian Beer von Google Project Zero

Kernel

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Es bestand ein Problem, das den Lesezugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dadurch wurden Inhalte des Kernelspeichers offengelegt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6209: Brandon Azad von Google Project Zero

Kernel

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann unerwartete Änderungen im Arbeitsspeicher, der von Prozessen gemeinsam genutzt wird, verursachen

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6208: Jann Horn von Google Project Zero

libxpc

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6218: Ian Beer von Google Project Zero

SQLite

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung von willkürlichem Code führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-20346: Tencent Blade Team

CVE-2018-20505: Tencent Blade Team

CVE-2018-20506: Tencent Blade Team

WebKit

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6227: Qixun Zhao vom Qihoo 360 Vulcan Team

CVE-2019-6233: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-6234: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-6229: Ryan Pickren (ryanpickren.com)

WebKit

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6215: Lokihardt von Google Project Zero

WebKit

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6212: Mike Zhang vom The Pangu-Team, Wen Xu vom SSLab von der Georgia Tech

CVE-2019-6216: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-6217: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Proteas, shrek_wzw und Zhuo Liang vom Qihoo 360 Nirvan Team

CVE-2019-6226: Apple

WebKit

Verfügbar für: Apple TV 4K und Apple TV (4. Generation)

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8570: James Lee (@Windowsrcer) von S2SWWW.com

Zusätzliche Danksagung

mDNSResponder

Wir möchten uns bei Fatemah Alharbi von der University of California, Riverside (UCR), und Taibah University (TU), Jie Chang von LinkSure Network, Yuchen Zhou von der Northeastern University, Feng Qian von der University of Minnesota – Twin City, Zhiyun Qian von der University of California, Riverside (UCR), und Nael Abu-Ghazaleh von der University of California, Riverside (UCR), für die Unterstützung bedanken.

WebKit

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.