Informationen zum Sicherheitsinhalt von tvOS 10.2.2

In diesem Dokument wird der Sicherheitsinhalt von tvOS 10.2.2 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

tvOS 10.2.2

Veröffentlicht am 19. Juli 2017

Kontakte

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Filmdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-7008: Yangkang (@dnpushme) vom Qihoo 360 Qex Team

IOUSBFamily

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7009: shrek_wzw vom Qihoo 360 Nirvan Team

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7022: Ein anonymer Forscher

CVE-2017-7024: Ein anonymer Forscher

CVE-2017-7026: Ein anonymer Forscher

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7023: Ein anonymer Forscher

CVE-2017-7025: Ein anonymer Forscher

CVE-2017-7027: Ein anonymer Forscher

CVE-2017-7069: Proteas vom Qihoo 360 Nirvan Team

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7028: Ein anonymer Forscher

CVE-2017-7029: Ein anonymer Forscher

libarchive

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-7068: Gefunden von OSS-Fuzz

libxml2

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Analyse eines in böser Absicht erstellten XML-Dokuments kann zur Preisgabe von Benutzerdaten führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-7010: Apple

CVE-2017-7013: Gefunden von OSS-Fuzz

libxpc

Verfügbar für: Apple TV (4. Generation) 

Auswirkung: Ein Programm kann willkürlichen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7047: Ian Beer von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann zugelassen werden, dass Daten von verschiedenen Quellen durch SVG-Filter exfiltriert werden, um einen Timing-Nebenkanal-Angriff durchzuführen. Das Problem wurde behoben, indem der Puffer aus verschiedenen Quellen nicht in den Frame übertragen wird, der gefiltert wird.

CVE-2017-7006: David Kohlbrenner von der UC San Diego, ein anonymer Forscher

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7018: lokihardt von Google Project Zero

CVE-2017-7020: likemeng vom Baidu Security Lab

CVE-2017-7030: chenqin vom Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin vom Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt von Google Project Zero

CVE-2017-7039: Ivan Fratric von Google Project Zero

CVE-2017-7040: Ivan Fratric von Google Project Zero

CVE-2017-7041: Ivan Fratric von Google Project Zero

CVE-2017-7042: Ivan Fratric von Google Project Zero

CVE-2017-7043: Ivan Fratric von Google Project Zero

CVE-2017-7046: Ivan Fratric von Google Project Zero

CVE-2017-7048: Ivan Fratric von Google Project Zero

CVE-2017-7052: cc in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7055: Britisches National Cyber Security Centre (NCSC)

CVE-2017-7056: lokihardt von Google Project Zero

CVE-2017-7061: lokihardt von Google Project Zero

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten mit DOMParser kann zu Cross-Site-Scripting führen

Beschreibung: Bei der Verarbeitung von DOMParser trat ein Logikproblem auf. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai) von Digital Security und Egor Saltykov (@ansjdnakjdnajkd) von Digital Security, Neil Jenkins von FastMail Pty Ltd

CVE-2017-7059: Masato Kinugawa und Mario Heiderich von Cure53

Eintrag aktualisiert am 28. Juli 2017

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7049: Ivan Fratric von Google Project Zero

Laden von WebKit-Seiten

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7019: Zhiyang Zeng vom Tencent Security Platform Department

WLAN

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7065: Gal Beniamini von Google Project Zero

Eintrag am Montag, den 25. September 2017, hinzugefügt

WLAN

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer, der sich in WLAN-Reichweite befindet, kann eine Service-Verweigerung auf dem WLAN-Chip verursachen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7066: Gal Beniamini von Google Project Zero

Eintrag am Dienstag, den 26. September 2017, hinzugefügt

WLAN

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-9417: Nitay Artenstein von Exodus Intelligence

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: