Informationen zum Sicherheitsinhalt von Apple TV 7.2.1

In diesem Dokument wird der Sicherheitsinhalt von Apple TV 7.2.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

Apple TV 7.2.1

  • bootp

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein böswilliges WLAN-Netzwerk könnte Netzwerke erkennen, auf die ein Gerät in der Vergangenheit bereits zugegriffen hat

    Beschreibung: Nach dem Verbinden mit einem WLAN-Netzwerk konnte iOS per DNAv4-Protokoll MAC-Adressen von Netzwerken übertragen, auf die in der Vergangenheit bereits zugegriffen wurde. Dieses Problem wurde durch die Deaktivierung von DNAv4 in unverschlüsselten WLAN-Netzwerken behoben.

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon vom Oxford Internet Institute, University of Oxford (im Rahmen des EPSRC Being There-Projekts)

  • CloudKit

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein Schadprogramm könnte auf den iCloud-Benutzereintrag eines zuvor angemeldeten Benutzers zugreifen

    Beschreibung: Bei der Abmeldung von Benutzern in CloudKit bestand eine Statusinkonsistenz. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

    CVE-ID

    CVE-2015-3782: Deepkanwal Plaha von der University of Toronto

  • CFPreferences

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Eine schadhafte App könnte die verwalteten Einstellungen anderer Apps lesen

    Beschreibung: In der Sandbox für Drittanbieter-Apps bestand ein Problem. Dieses Problem wurde durch Verbesserung des Sandbox-Profils für Drittanbieter behoben.

    CVE-ID

    CVE-2015-3793: Andreas Weinlein vom Appthority Mobility Threat Team

  • Codesignierung

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein Schadprogramm könnte unsignierten Code ausführen

    Beschreibung: Es bestand ein Problem, bei dem unsignierter Code an signierten Code in einer speziell dafür erstellten ausführbaren Datei angehängt werden konnte. Dieses Problem wurde durch eine verbesserte Codesignatur-Überprüfung behoben.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • Codesignierung

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Eine spezielle ausführbare Datei könnte die Ausführung von unsigniertem schadhaften Code zulassen

    Beschreibung: Bei der Bewertung von ausführbaren Mehrarchitektur-Dateien bestand ein Problem, das die Ausführung von unsigniertem Code zulassen konnte. Dieses Problem wurde durch eine verbesserte Validierung von ausführbaren Dateien behoben.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • Codesignierung

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein lokaler Benutzer könnte nicht signierten Code ausführen.

    Beschreibung: Bei der Verarbeitung von Mach-O-Dateien bestand ein Validierungsproblem. Dieses Problem wurde durch zusätzliche Überprüfungen behoben.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • CoreMedia Playback

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der CoreMedia-Wiedergabe konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Die Verarbeitung einer schadhaften Schriftdatei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team 

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • DiskImages

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Die Verarbeitung einer schadhaften DMG-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes mit Systemrechten führen

    Beschreibung: Bei der Analyse von manipulierten DMG-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3800: Frank Graziano vom Yahoo Pentest Team

  • FontParser

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Die Verarbeitung einer schadhaften Schriftdatei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-5775: Apple

  • ImageIO

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Die Verarbeitung einer schadhaften .tiff-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von .tiff-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Das Analysieren von in böser Absicht erstellten Webinhalten könnte zur Preisgabe von Prozessspeicher führen

    Beschreibung: Bei der Verarbeitung von PNG-Bildern in ImageIO bestand ein Problem aufgrund eines nicht initialisierten Speicherzugriffs. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung und eine zusätzliche Validierung von PNG-Bildern behoben.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

  • ImageIO

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Das Analysieren von in böser Absicht erstellten Webinhalten könnte zur Preisgabe von Prozessspeicher führen

    Beschreibung: Bei der Verarbeitung von TIFF-Bildern in ImageIO bestand ein Problem aufgrund eines nicht initialisierten Speicherzugriffs. Dieses Problem wird durch eine verbesserte Speicherinitialisierung und eine zusätzliche Validierung von TIFF-Bildern behoben.

    CVE-ID

    CVE-2015-5782: Michal Zalewski

  • IOKit

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Die Analyse einer schadhaften plist könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes mit Systemrechten führen

    Beschreibung: Bei der Verarbeitung manipulierter plists konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3776: Teddy Reed von Facebook Security, Patrick Stein (@jollyjinx) von Jinx Germany

  • IOHIDFamily

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein lokaler Benutzer könnte willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In IOHIDFamily gab es ein Problem, das zu einem Pufferüberlauf führen konnte. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Das Kernel-Speicher-Layout könnte von einem Schadprogramm ermittelt werden

    Beschreibung: In der mach_port_space_info-Schnittstelle bestand ein Problem, das zur Offenlegung des Kernel-Speicher-Layouts führen konnte. Dieses Problem wurde durch Deaktivierung der mach_port_space_info-Schnittstelle behoben.

    CVE-ID

    CVE-2015-3766: Cererdlong von Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein Schadprogramm könnte willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von IOKit-Funktionen konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Überprüfung von IOKit API-Argumenten behoben.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • Libc

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Die Verarbeitung eines schadhaften regulären Ausdrucks könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In der TRE-Bibliothek konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3796: Ian Beer vom Google Project Zero

    CVE-2015-3797: Ian Beer vom Google Project Zero

    CVE-2015-3798: Ian Beer vom Google Project Zero

  • Libinfo

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein entfernter Angreifer könnte einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung von AF_INET6-Sockets konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein Schadprogramm könnte willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von syscalls konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Sperrstatusüberprüfung behoben.

    CVE-ID

    CVE-2015-5757: Lufeng Li von Qihoo 360

  • libxml2

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Die Analyse eines in böser Absicht erstellten XML-Dokuments könnte zur Preisgabe von Benutzerinformationen führen

    Beschreibung: Bei der Analyse von XML-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-3807: Michal Zalewski

  • libxml2

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: In den libxml2-Versionen vor Version 2.9.2 bestanden mehrere Schwachstellen, von denen die schwerwiegendste einem entfernten Angreifer erlauben konnte, einen Denial-of-Service zu verursachen

    Beschreibung: libxml2 hatte mehrere Schwachstellen in den Versionen vor Version 2.9.2. Diese wurden durch Aktualisierung von libxml2 auf Version 2.9.2 behoben.

    CVE-ID

    CVE-2012-6685: Felix Groebert von Google

    CVE-2014-0191: Felix Groebert von Google

    CVE-2014-3660: Felix Groebert von Google

  • libxpc

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein Schadprogramm könnte willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von manipulierten XPC-Meldungen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • libxslt

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Die Verarbeitung von in böser Absicht erstellten XML-Inhalten könnte zur Ausführung willkürlichen Codes führen

    Beschreibung: In libxslt bestand ein Typenverwechslungsproblem. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-7995: puzzor

  • Location Framework

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Ein lokaler Benutzer könnte geschützte Bereiche des Dateisystems ändern

    Beschreibung: Ein Problem mit symbolischen Links wurde durch eine verbesserte Pfadvalidierung behoben.

    CVE-ID

    CVE-2015-3759: Cererdlong vom Alibaba Mobile Security Team

  • Office Viewer

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Das Analysieren von in böser Absicht erstellten XML-Daten könnte zur Preisgabe von Benutzerinformationen führen

    Beschreibung: Bei der XML-Analyse bestand ein Referenzierungsproblem externer Entitäten. Dieses Problem wurde durch eine verbesserte Analyse behoben.

    CVE-ID

    CVE-2015-3784: Bruno Morisson von INTEGRITY S.A. 

  • QL Office

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Die Analyse eines schadhaften Office-Dokuments könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Analyse von Office-Dokumenten konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2015-5773: Apple

  • Sandbox_profiles

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Eine schadhafte App könnte die verwalteten Einstellungen anderer Apps lesen

    Beschreibung: In der Sandbox für Drittanbieter-Apps bestand ein Problem. Dieses Problem wurde durch Verbesserung des Sandbox-Profils für Drittanbieter behoben.

    CVE-ID

    CVE-2015-5749: Andreas Weinlein vom Appthority Mobility Threat Team

  • WebKit

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Das Anzeigen von in böser Absicht erstellten Webinhalten könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: In böser Absicht erstellte Webinhalte könnten Bilddaten ursprungsübergreifend exfiltrieren

    Beschreibung: Bilder, die durch URLs abgerufen wurden, die auf eine data:image-Ressource umgeleitet wurden, konnten ursprungsübergreifend exfiltriert werden. Das Problem wurde durch ein verbessertes Canvas-Taint-Tracking behoben.

    CVE-ID

    CVE-2015-3753: Antonio Sanso und Damien Antipa von Adobe

  • WebKit

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: In böser Absicht erstellte Webinhalte könnten Klartextanfragen an einen Ursprung unter HTTP Strict Transport Security auslösen

    Beschreibung: Es bestand ein Problem, bei dem Content Security Policy-Berichtsanfragen die HTTP Strict Transport Security (HSTS) nicht berücksichtigten. Dieses Problem wurde durch Anwendung von HSTS auf CSP behoben.

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Content Security Policy-Berichtsanfragen könnten Cookies preisgeben

    Beschreibung: Es bestanden zwei Probleme dabei, wie Cookies zu Content Security Policy-Berichtsanfragen hinzugefügt wurden. Cookies wurden in ursprungsübergreifenden Berichtsanfragen entgegen des Standards gesendet. Cookies, die beim normalen Surfen festgelegt wurden, wurden beim privaten Surfen gesendet. Diese Probleme wurden durch eine verbesserte Cookie-Verarbeitung behoben.

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit

    Verfügbar für: Apple TV 3. Generation

    Auswirkung: Das Laden von Bildern könnte die Content Security Policy-Richtlinie einer Website verletzen

    Beschreibung: Es bestand ein Problem, bei dem durch die Verarbeitung von Webinhalten mit Videosteuerungen Bilder geladen wurden, die in Verletzung der Content Security Policy-Richtlinie der Website in Objektelemente verschachtelt wurden. Dieses Problem wurde durch eine verbesserte Durchsetzung der Content Security Policy behoben.

    CVE-ID

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: