Informationen zum Sicherheitsinhalt von Apple TV 6.1
In diesem Dokument wird der Sicherheitsinhalt von Apple TV 6.1 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates."
Apple TV 6.1
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Ein Angreifer mit Zugang zu einem Apple TV kann über Protokolle auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Vertrauliche Benutzerdaten wurden protokolliert. Dieses Problem wurde dadurch behoben, dass weniger Daten protokolliert werden.
CVE-ID
CVE-2014-1279: David Schuetz von der Intrepidus Group
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Profil-Ablaufdaten wurden nicht berücksichtigt.
Beschreibung: Ablaufdaten der mobilen Konfigurationsprofile wurden nicht korrekt analysiert. Dieses Problem wurde durch eine verbesserte Verarbeitung dieser Konfigurationsprofile behoben.
CVE-ID
CVE-2014-1267
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Ein Schadprogramm kann einen unerwarteten Systemabbruch verursachen.
Beschreibung: Bei der Verarbeitung von IOKit-API-Aufrufen durch CoreCapture bestand ein Problem mit einer erreichbaren Zusicherung. Das Problem wurde durch eine zusätzliche Überprüfung der Eingabe durch IOKit behoben.
CVE-ID
CVE-2014-1271: Filippo Bigarella
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Ein lokaler Benutzer könnte die Zugriffsberechtigungen beliebiger Dateien ändern.
Beschreibung: CrashHouseKeeping folgte beim Ändern der Zugriffsrechte für Dateien symbolischen Links. Dieses Problem wurde behoben, indem beim Ändern der Zugriffsrechte für Dateien keinen symbolischen Links gefolgt wurde.
CVE-ID
CVE-2014-1272: evad3rs
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Aufforderungen zur Code-Signierung könnten umgangen werden.
Beschreibung: Anweisungen zur Verschiebung von Texten in dynamische Bibliotheken wurden möglicherweise von dyld geladen, ohne dass eine Validierung der Code-Signatur erfolgte. Dieses Problem wurde behoben, indem die Anweisungen zur Verschiebung von Texten ignoriert werden.
CVE-ID
CVE-2014-1273: evad3rs
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von JPEG2000-Bildern in PDF-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1275: Felix Groebert vom Google-Sicherheitsteam
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten TIFF-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Die Verarbeitung von TIFF-Bildern durch libtiff konnte zu einem Pufferüberlauf führen. Dieses Problem wurde durch eine zusätzliche Validierung von TIFF-Bildern behoben.
CVE-ID
CVE-2012-2088
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Die Anzeige einer in böswilliger Absicht erstellten JPEG-Datei könnte zur Preisgabe von Speicherinhalten führen.
Beschreibung: Bei der Verarbeitung von JPEG-Markern in libjpeg gab es ein Problem mit einem nicht initialisierten Speicherzugriff, das zur Preisgabe von Speicherinhalten führte. Dieses Problem wurde durch eine zusätzliche Validierung von JPEG-Dateien behoben.
CVE-ID
CVE-2013-6629: Michal Zalewski
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen.
Beschreibung: In der ARM ptmx_get_ioctl-Funktion gab es ein Problem mit grenzüberschreitendem Speicherzugriff. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1278: evad3rs
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Ein Konfigurationsprofil könnte für den Benutzer nicht sichtbar sein.
Beschreibung: Ein Konfigurationsprofil mit langem Namen konnte auf das Gerät geladen worden sein, wurde jedoch nicht in der Profil-Benutzeroberfläche angezeigt. Dieses Problem wurde durch eine verbesserte Verarbeitung von Profilnamen behoben.
CVE-ID
CVE-2014-1282: Assaf Hefetz, Yair Amit und Adi Sharabani von Skycure
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Eine Person mit physischem Zugang zum Gerät könnte im Kernel-Modus die Ausführung willkürlichen Codes verursachen.
Beschreibung: Bei der Verarbeitung von USB-Meldungen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine zusätzliche Validierung von USB-Meldungen behoben.
CVE-ID
CVE-2014-1287: Andy Davis von der NCC Group
WebKit
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2013-2909: Atte Kettunen von OUSPG
CVE-2013-2926: cloudfuzzer
CVE-2013-2928: Google Chrome-Sicherheitsteam
CVE-2013-5196: Google Chrome-Sicherheitsteam
CVE-2013-5197: Google Chrome-Sicherheitsteam
CVE-2013-5198: Apple
CVE-2013-5199: Apple
CVE-2013-5225: Google Chrome-Sicherheitsteam
CVE-2013-5228: Keen Team (@K33nTeam) in Zusammenarbeit mit der HP Zero Day Initiative
CVE-2013-6625: cloudfuzzer
CVE-2013-6635: cloudfuzzer
CVE-2014-1269: Apple
CVE-2014-1270: Apple
CVE-2014-1289: Apple
CVE-2014-1290: ant4g0nist (SegFault) in Zusammenarbeit mit der HP Zero-Day Initiative, Google Chrome-Sicherheitsteam
CVE-2014-1291: Google Chrome-Sicherheitsteam
CVE-2014-1292: Google Chrome-Sicherheitsteam
CVE-2014-1293: Google Chrome-Sicherheitsteam
CVE-2014-1294: Google Chrome-Sicherheitsteam
Apple TV
Verfügbar für: Apple TV (2. Generation und neuer)
Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei könnte dazu führen, dass das Gerät nicht mehr reagiert.
Beschreibung: Bei der Verarbeitung von MPEG-4-codierten Dateien existierte ein Problem mit einem Nullverweis. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2014-1280: rg0rd
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.