Informationen zum Sicherheitsinhalt von tvOS 9.2

In diesem Dokument wird der Sicherheitsinhalt von tvOS 9.2 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekanntgegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

tvOS 9.2

  • FontParser

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist und r3dsm0k3) in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • HTTP-Protokoll

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Ein Remoteangreifer kann willkürliche Codes ausführen.

    Beschreibung: In Nghttp2-Versionen vor Version 1.6.0 existierten mehrere Schwachstellen, die im schlimmsten Fall zur Codeausführung durch einen Remoteangreifer führen konnten. Diese Probleme wurden durch die Aktualisierung von Nghttp2 auf Version 1.6.0 behoben.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Das Kernel-Speicher-Layout könnte von einem Programm ermittelt werden.

    Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Kernel

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Durch eine verbesserte Speicherverwaltung wurde ein Use-After-Free-Problem behoben.

    CVE-ID

    CVE-2016-1750: CESG

  • Kernel

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Durch eine Verbesserung der Eingabeüberprüfung wurden mehrere Ganzzahlüberläufe behoben.

    CVE-ID

    CVE-2016-1753: Juwei Lin Trend Micro in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • Kernel

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Ein Programm kann Codesignierung umgehen.

    Beschreibung: Es existierte ein Berechtigungsfehler, bei dem die Ausführungsberechtigung fehlerhaft zugewiesen wurde. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

    CVE-ID

    CVE-2016-1751: Eric Monti von Square Mobile Security

  • Kernel

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernelrechten ausführen.

    Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2016-1754: Lufeng Li vom Qihoo 360 Vulcan-Team

    CVE-2016-1755: Ian Beer vom Google Project Zero

  • Kernel

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Ein Programm könnte einen Denial-of-Service-Angriff verursachen.

    Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Validierung behoben.

    CVE-ID

    CVE-2016-1752: CESG

  • libxml2

    Verfügbar für: Apple TV (4. Generation)

    Symptom: Die Verarbeitung einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.

    Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale von Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany von Google

    CVE-2015-7942: Kostya Serebryany von Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1762

  • Sicherheit

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Im ASN.1-Decoder bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1950: Francis Gabriel von Quarkslab

  • TrueTypeScaler

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

    CVE-ID

    CVE-2016-1775: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro

  • WebKit

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Durch eine verbesserte Speicherverarbeitung wurde ein Speicherproblem behoben.

    CVE-ID

    CVE-2016-1783: Mihai Parparita von Google

  • WebKit-Verlauf

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Absturz von Safari führen.

    Beschreibung: Durch eine verbesserte Eingabeüberprüfung wurde eine Ressourcenausschöpfung behoben.

    CVE-ID

    CVE-2016-1784: Moony Li und Jack Tang von Trend Micro und dem 李普君 of 无声信息技术PKAV-Team (PKAV.net)

  • WLAN

    Verfügbar für: Apple TV (4. Generation)

    Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.

    Beschreibung: Für einen bestimmten Ethertype bestanden ein Frame-Validierungsproblem und ein Speicherfehler. Dieses Problem wurde durch eine zusätzliche Ethertype-Überprüfung und eine verbesserte Speicherverarbeitung behoben.

    CVE-ID

    CVE-2016-0801: ein anonymer Forscher

    CVE-2016-0802: ein anonymer Forscher

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: