Informationen zum Sicherheitsinhalt von tvOS 10.1.1

In diesem Dokument wird der Sicherheitsinhalt von tvOS 10.1.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

tvOS 10.1.1

Veröffentlicht am 23. Januar 2017

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverarbeitung behoben.

CVE-2017-2370: Ian Beer vom Google Project Zero

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2360: Ian Beer vom Google Project Zero

libarchive

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-8687: Agostino Sarubbo von Gentoo

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.

CVE-2017-2350: Gareth Heyes von Portswigger Web Security

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverarbeitung behoben.

CVE-2017-2354: Neymar vom Xuanwu Lab von Tencent (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2362: Ivan Fratric von Google Project Zero

CVE-2017-2373: Ivan Fratric von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverarbeitung behoben.

CVE-2017-2355: Team Pangu und lokihardt beim PwnFest 2016

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2356: Team Pangu und lokihardt beim PwnFest 2016

CVE-2017-2369: Ivan Fratric von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2363: lokihardt von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Variablen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2365: lokihardt von Google Project Zero

Zusätzliche Danksagung

WebKit-Härtung

Wir danken Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos und Cristiano Giuffrida von der vusec-Gruppe an der Freien Universität Amsterdam für ihre Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: