Informationen zum Sicherheitsinhalt von tvOS 10.1
In diesem Dokument wird der Sicherheitsinhalt von tvOS 10.1 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
tvOS 10.1
Audio
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-7658: Haohao Kong von Keen Lab (@keen_lab), Tencent
CVE-2016-7659: Haohao Kong von Keen Lab (@keen_lab), Tencent
CoreFoundation
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Zeichenfolgen kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Zeichenfolgen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2016-7663: Ein anonymer Forscher
CoreGraphics
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zu einem unerwarteten Programmabbruch führen
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM
Externe CoreMedia-Bildschirme
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokales Programm kann über den Mediaserver-Daemon willkürlichen Code ausführen
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7655: Keen Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CoreMedia Playback
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten MP4-Datei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7588: dragonltx von Huawei 2012 Laboratories
CoreText
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien traten mehrere Speicherfehler auf. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2016-7595: riusksk(泉哥) vom Tencent Security Platform Department
CoreText
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Zeichenfolge kann zu einem Denial-of-Service führen
Beschreibung: Ein Problem beim Rendern überlappender Bereiche wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) von Digital Unit (dgunit.com)
Images
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-7616: daybreaker@Minionz in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
FontParser
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien traten mehrere Speicherfehler auf. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2016-4691: riusksk(泉哥) vom Tencent Security Platform Department
ICU
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7594: André Bargull
ImageIO
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein entfernter Angreifer kann ein Speicherleck verursachen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2016-7643: Yangkang (@dnpushme) vom Qihoo360 Qex Team
IOHIDFamily
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine lokales Programm mit Systemrechten kann willkürlichen Code mit Kernelrechten ausführen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7591: daybreaker von Minionz
IOKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Der Kernelspeicher kann von einem Programm gelesen werden
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-7657: Keen Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
IOKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann das Layout des Kernelspeichers ermitteln
Beschreibung: Ein Problem mit gemeinsam genutztem Speicher wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7714: Qidan He (@flanker_hqd) von KeenLab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
JavaScriptCore
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Skript, das in einer JavaScript-Sandbox ausgeführt wird, kann möglicherweise außerhalb der Sandbox auf den Status zugreifen
Beschreibung: Bei der Verarbeitung von JavaScript trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-4695: Mark S. Miller von Google
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-7606: @cocoahuke, Chen Qin vom Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Der Kernelspeicher kann von einem Programm gelesen werden
Beschreibung: Ein Problem durch unzureichende Initialisierung wurde durch eine korrekte Speicherinitialisierung an den Benutzerraum behoben.
CVE-2016-7607: Brandon Azad
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service des Systems verursachen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7615: Britisches National Cyber Security Centre (NCSC)
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann unter Umständen einen unerwarteten Systemabbruch oder die Ausführung willkürlichen Codes im Kernel verursachen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7621: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer könnte Root-Rechte erlangen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-7637: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann einen Denial-of-Service verursachen
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-7647: Lufeng Li vom Qihoo 360 Vulcan Team
libarchive
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Angreifer kann bestehende Dateien überschreiben
Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung von Symlinks behoben.
CVE-2016-7619: Ein anonymer Forscher
Energieverwaltung
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer könnte Root-Rechte erlangen
Beschreibung: Ein Problem bei der Zuordnung der Referenzen von Anschlussnamen wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-7661: Ian Beer von Google Project Zero
Profile
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Öffnen eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Zertifikatprofilen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Sicherheit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer kann eine Schwachstelle im 3DES-Kryptographie-Algorithmus ausnutzen
Beschreibung: 3DES wurde als Standardverschlüsselung entfernt.
CVE-2016-4693: Gaëtan Leurent und Karthikeyan Bhargavan von INRIA Paris
Sicherheit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann einen Denial-of-Service-Angriff verursachen
Beschreibung: Bei der Verarbeitung von OCSP-Antwort-URLs bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine Überprüfung des OCSP-Widerrufsstatus nach der CA-Validierung und durch eine Begrenzung der Anzahl von OCSP-Anfragen pro Zertifikat behoben.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Sicherheit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Zertifikate werden unerwartet als vertrauenswürdig bewertet
Beschreibung: Bei der Zertifikatsüberprüfung lag ein Problem bei der Bewertung von Zertifikaten vor. Dieses Problem wurde durch eine zusätzliche Überprüfung von Zertifikaten behoben.
CVE-2016-7662: Apple
syslog
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer könnte Root-Rechte erlangen
Beschreibung: Ein Problem bei der Zuordnung der Referenzen von Anschlussnamen wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-7660: Ian Beer von Google Project Zero
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2016-4743: Alan Cutter
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Offenlegung von Benutzerdaten führen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2016-7586: Boris Zbarsky
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2016-7611: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2016-7639: Tongbo Luo von Palo Alto Networks
CVE-2016-7640: Kai Kang von Tencents Xuanwu Lab (tencent.com)
CVE-2016-7641: Kai Kang von Tencents Xuanwu Lab (tencent.com)
CVE-2016-7642: Tongbo Luo von Palo Alto Networks
CVE-2016-7645: Kai Kang von Tencents Xuanwu Lab (tencent.com)
CVE-2016-7646: Kai Kang von Tencents Xuanwu Lab (tencent.com)
CVE-2016-7648: Kai Kang von Tencents Xuanwu Lab (tencent.com)
CVE-2016-7649: Kai Kang von Tencents Xuanwu Lab (tencent.com)
CVE-2016-7654: Keen Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2016-7589: Apple
CVE-2016-7656: Keen Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden
Beschreibung: Ein Problem beim Zugriff auf nicht initialisierten Speicher wurde durch eine verbesserte Speicherinitialisierung behoben.
CVE-2016-7598: Samuel Groß
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Offenlegung von Benutzerdaten führen
Beschreibung: Bei der Verarbeitung von HTTP-Umleitungen trat ein Problem auf. Dieses Problem wurde durch eine verbesserte ursprungsübergreifende Überprüfung behoben.
CVE-2016-7599: Muneaki Nishimura (nishimunea) von Recruit Technologies Co., Ltd.
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2016-7632: Jeonghoon Shin
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.