Informationen zum Sicherheitsinhalt von tvOS 9.2
In diesem Dokument wird der Sicherheitsinhalt von tvOS 9.2 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekanntgegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
tvOS 9.2
FontParser
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.
CVE-ID
CVE-2016-1740: HappilyCoded (ant4g0nist und r3dsm0k3) in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
HTTP-Protokoll
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Remoteangreifer kann willkürliche Codes ausführen.
Beschreibung: In Nghttp2-Versionen vor Version 1.6.0 existierten mehrere Schwachstellen, die im schlimmsten Fall zur Codeausführung durch einen Remoteangreifer führen konnten. Diese Probleme wurden durch die Aktualisierung von Nghttp2 auf Version 1.6.0 behoben.
CVE-ID
CVE-2015-8659
IOHIDFamily
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Kernel-Speicher-Layout könnte von einem Programm ermittelt werden.
Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.
CVE-ID
CVE-2016-1748: Brandon Azad
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Durch eine verbesserte Speicherverwaltung wurde ein Use-After-Free-Problem behoben.
CVE-ID
CVE-2016-1750: CESG
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Durch eine Verbesserung der Eingabeüberprüfung wurden mehrere Ganzzahlüberläufe behoben.
CVE-ID
CVE-2016-1753: Juwei Lin Trend Micro in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann Codesignierung umgehen.
Beschreibung: Es existierte ein Berechtigungsfehler, bei dem die Ausführungsberechtigung fehlerhaft zugewiesen wurde. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.
CVE-ID
CVE-2016-1751: Eric Monti von Square Mobile Security
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2016-1754: Lufeng Li vom Qihoo 360 Vulcan-Team
CVE-2016-1755: Ian Beer vom Google Project Zero
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm könnte einen Denial-of-Service-Angriff verursachen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Validierung behoben.
CVE-ID
CVE-2016-1752: CESG
libxml2
Verfügbar für: Apple TV (4. Generation)
Symptom: Die Verarbeitung einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-1819
CVE-2015-5312: David Drysdale von Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany von Google
CVE-2015-7942: Kostya Serebryany von Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1762
Sicherheit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Im ASN.1-Decoder bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1950: Francis Gabriel von Quarkslab
TrueTypeScaler
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2016-1775: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.
CVE-ID
CVE-2016-1783: Mihai Parparita von Google
WebKit-Verlauf
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Absturz von Safari führen.
Beschreibung: Durch eine verbesserte Eingabeüberprüfung wurde eine Ressourcenausschöpfung behoben.
CVE-ID
CVE-2016-1784: Moony Li und Jack Tang von Trend Micro und dem 李普君 of 无声信息技术PKAV-Team (PKAV.net)
WLAN
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.
Beschreibung: Für einen bestimmten Ethertype bestanden ein Frame-Validierungsproblem und ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Ethertype-Überprüfung und eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2016-0801: ein anonymer Forscher
CVE-2016-0802: ein anonymer Forscher
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.