Informationen zum Sicherheitsinhalt von Apple TV 7.2.1
In diesem Dokument wird der Sicherheitsinhalt von Apple TV 7.2.1 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
Apple TV 7.2.1
bootp
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein böswilliges WLAN-Netzwerk könnte Netzwerke erkennen, auf die ein Gerät in der Vergangenheit bereits zugegriffen hat
Beschreibung: Nach dem Verbinden mit einem WLAN-Netzwerk konnte iOS per DNAv4-Protokoll MAC-Adressen von Netzwerken übertragen, auf die in der Vergangenheit bereits zugegriffen wurde. Dieses Problem wurde durch die Deaktivierung von DNAv4 in unverschlüsselten WLAN-Netzwerken behoben.
CVE-ID
CVE-2015-3778: Piers O'Hanlon vom Oxford Internet Institute, University of Oxford (im Rahmen des EPSRC Being There-Projekts)
CloudKit
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein Schadprogramm könnte auf den iCloud-Benutzereintrag eines zuvor angemeldeten Benutzers zugreifen
Beschreibung: Bei der Abmeldung von Benutzern in CloudKit bestand eine Statusinkonsistenz. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-ID
CVE-2015-3782: Deepkanwal Plaha von der University of Toronto
CFPreferences
Verfügbar für: Apple TV 3. Generation
Auswirkung: Eine schadhafte App könnte die verwalteten Einstellungen anderer Apps lesen
Beschreibung: In der Sandbox für Drittanbieter-Apps bestand ein Problem. Dieses Problem wurde durch Verbesserung des Sandbox-Profils für Drittanbieter behoben.
CVE-ID
CVE-2015-3793: Andreas Weinlein vom Appthority Mobility Threat Team
Codesignierung
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein Schadprogramm könnte unsignierten Code ausführen
Beschreibung: Es bestand ein Problem, bei dem unsignierter Code an signierten Code in einer speziell dafür erstellten ausführbaren Datei angehängt werden konnte. Dieses Problem wurde durch eine verbesserte Codesignatur-Überprüfung behoben.
CVE-ID
CVE-2015-3806: TaiG Jailbreak Team
Codesignierung
Verfügbar für: Apple TV 3. Generation
Auswirkung: Eine spezielle ausführbare Datei könnte die Ausführung von unsigniertem schadhaften Code zulassen
Beschreibung: Bei der Bewertung von ausführbaren Mehrarchitektur-Dateien bestand ein Problem, das die Ausführung von unsigniertem Code zulassen konnte. Dieses Problem wurde durch eine verbesserte Validierung von ausführbaren Dateien behoben.
CVE-ID
CVE-2015-3803: TaiG Jailbreak Team
Codesignierung
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein lokaler Benutzer könnte nicht signierten Code ausführen.
Beschreibung: Bei der Verarbeitung von Mach-O-Dateien bestand ein Validierungsproblem. Dieses Problem wurde durch zusätzliche Überprüfungen behoben.
CVE-ID
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
CoreMedia Playback
Verfügbar für: Apple TV 3. Generation
Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der CoreMedia-Wiedergabe konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Verfügbar für: Apple TV 3. Generation
Auswirkung: Die Verarbeitung einer schadhaften Schriftdatei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
DiskImages
Verfügbar für: Apple TV 3. Generation
Auswirkung: Die Verarbeitung einer schadhaften DMG-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes mit Systemrechten führen
Beschreibung: Bei der Analyse von manipulierten DMG-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-3800: Frank Graziano vom Yahoo Pentest Team
FontParser
Verfügbar für: Apple TV 3. Generation
Auswirkung: Die Verarbeitung einer schadhaften Schriftdatei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von Schriftdateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-ID
CVE-2015-3804: Apple
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-5775: Apple
ImageIO
Verfügbar für: Apple TV 3. Generation
Auswirkung: Die Verarbeitung einer schadhaften .tiff-Datei könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von .tiff-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-5758: Apple
ImageIO
Verfügbar für: Apple TV 3. Generation
Auswirkung: Das Analysieren von in böser Absicht erstellten Webinhalten könnte zur Preisgabe von Prozessspeicher führen
Beschreibung: Bei der Verarbeitung von PNG-Bildern in ImageIO bestand ein Problem aufgrund eines nicht initialisierten Speicherzugriffs. Dieses Problem wurde durch eine verbesserte Speicherinitialisierung und eine zusätzliche Validierung von PNG-Bildern behoben.
CVE-ID
CVE-2015-5781: Michal Zalewski
ImageIO
Verfügbar für: Apple TV 3. Generation
Auswirkung: Das Analysieren von in böser Absicht erstellten Webinhalten könnte zur Preisgabe von Prozessspeicher führen
Beschreibung: Bei der Verarbeitung von TIFF-Bildern in ImageIO bestand ein Problem aufgrund eines nicht initialisierten Speicherzugriffs. Dieses Problem wird durch eine verbesserte Speicherinitialisierung und eine zusätzliche Validierung von TIFF-Bildern behoben.
CVE-ID
CVE-2015-5782: Michal Zalewski
IOKit
Verfügbar für: Apple TV 3. Generation
Auswirkung: Die Analyse einer schadhaften plist könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes mit Systemrechten führen
Beschreibung: Bei der Verarbeitung manipulierter plists konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-3776: Teddy Reed von Facebook Security, Patrick Stein (@jollyjinx) von Jinx Germany
IOHIDFamily
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein lokaler Benutzer könnte willkürlichen Code mit Systemrechten ausführen
Beschreibung: In IOHIDFamily gab es ein Problem, das zu einem Pufferüberlauf führen konnte. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-5774: TaiG Jailbreak Team
Kernel
Verfügbar für: Apple TV 3. Generation
Auswirkung: Das Kernel-Speicher-Layout könnte von einem Schadprogramm ermittelt werden
Beschreibung: In der mach_port_space_info-Schnittstelle bestand ein Problem, das zur Offenlegung des Kernel-Speicher-Layouts führen konnte. Dieses Problem wurde durch Deaktivierung der mach_port_space_info-Schnittstelle behoben.
CVE-ID
CVE-2015-3766: Cererdlong von Alibaba Mobile Security Team, @PanguTeam
Kernel
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein Schadprogramm könnte willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung von IOKit-Funktionen konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Überprüfung von IOKit API-Argumenten behoben.
CVE-ID
CVE-2015-3768: Ilja van Sprundel
Libc
Verfügbar für: Apple TV 3. Generation
Auswirkung: Die Verarbeitung eines schadhaften regulären Ausdrucks könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In der TRE-Bibliothek konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-3796: Ian Beer vom Google Project Zero
CVE-2015-3797: Ian Beer vom Google Project Zero
CVE-2015-3798: Ian Beer vom Google Project Zero
Libinfo
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein entfernter Angreifer könnte einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung von AF_INET6-Sockets konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-5776: Apple
libpthread
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein Schadprogramm könnte willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung von syscalls konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Sperrstatusüberprüfung behoben.
CVE-ID
CVE-2015-5757: Lufeng Li von Qihoo 360
libxml2
Verfügbar für: Apple TV 3. Generation
Auswirkung: Die Analyse eines in böser Absicht erstellten XML-Dokuments könnte zur Preisgabe von Benutzerinformationen führen
Beschreibung: Bei der Analyse von XML-Dateien konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-3807: Michal Zalewski
libxml2
Verfügbar für: Apple TV 3. Generation
Auswirkung: In den libxml2-Versionen vor Version 2.9.2 bestanden mehrere Schwachstellen, von denen die schwerwiegendste einem entfernten Angreifer erlauben konnte, einen Denial-of-Service zu verursachen
Beschreibung: libxml2 hatte mehrere Schwachstellen in den Versionen vor Version 2.9.2. Diese wurden durch Aktualisierung von libxml2 auf Version 2.9.2 behoben.
CVE-ID
CVE-2012-6685: Felix Groebert von Google
CVE-2014-0191: Felix Groebert von Google
CVE-2014-3660: Felix Groebert von Google
libxpc
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein Schadprogramm könnte willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung von manipulierten XPC-Meldungen kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2015-3795: Mathew Rowley
libxslt
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten XML-Inhalten könnte zur Ausführung willkürlichen Codes führen
Beschreibung: In libxslt bestand ein Typenverwechslungsproblem. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-7995: puzzor
Location Framework
Verfügbar für: Apple TV 3. Generation
Auswirkung: Ein lokaler Benutzer könnte geschützte Bereiche des Dateisystems ändern
Beschreibung: Ein Problem mit symbolischen Links wurde durch eine verbesserte Pfadvalidierung behoben.
CVE-ID
CVE-2015-3759: Cererdlong vom Alibaba Mobile Security Team
Office Viewer
Verfügbar für: Apple TV 3. Generation
Auswirkung: Das Analysieren von in böser Absicht erstellten XML-Daten könnte zur Preisgabe von Benutzerinformationen führen
Beschreibung: Bei der XML-Analyse bestand ein Referenzierungsproblem externer Entitäten. Dieses Problem wurde durch eine verbesserte Analyse behoben.
CVE-ID
CVE-2015-3784: Bruno Morisson von INTEGRITY S.A.
QL Office
Verfügbar für: Apple TV 3. Generation
Auswirkung: Die Analyse eines schadhaften Office-Dokuments könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Analyse von Office-Dokumenten konnte es zu einem Speicherfehler kommen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben.
CVE-ID
CVE-2015-5773: Apple
Sandbox_profiles
Verfügbar für: Apple TV 3. Generation
Auswirkung: Eine schadhafte App könnte die verwalteten Einstellungen anderer Apps lesen
Beschreibung: In der Sandbox für Drittanbieter-Apps bestand ein Problem. Dieses Problem wurde durch Verbesserung des Sandbox-Profils für Drittanbieter behoben.
CVE-ID
CVE-2015-5749: Andreas Weinlein vom Appthority Mobility Threat Team
WebKit
Verfügbar für: Apple TV 3. Generation
Auswirkung: Das Anzeigen von in böser Absicht erstellten Webinhalten könnte zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-3730: Apple
CVE-2015-3731: Apple
CVE-2015-3732: Apple
CVE-2015-3733: Apple
CVE-2015-3734: Apple
CVE-2015-3735: Apple
CVE-2015-3736: Apple
CVE-2015-3737: Apple
CVE-2015-3738: Apple
CVE-2015-3739: Apple
CVE-2015-3740: Apple
CVE-2015-3741: Apple
CVE-2015-3742: Apple
CVE-2015-3743: Apple
CVE-2015-3744: Apple
CVE-2015-3745: Apple
CVE-2015-3746: Apple
CVE-2015-3747: Apple
CVE-2015-3748: Apple
CVE-2015-3749: Apple
WebKit
Verfügbar für: Apple TV 3. Generation
Auswirkung: In böser Absicht erstellte Webinhalte könnten Bilddaten ursprungsübergreifend exfiltrieren
Beschreibung: Bilder, die durch URLs abgerufen wurden, die auf eine data:image-Ressource umgeleitet wurden, konnten ursprungsübergreifend exfiltriert werden. Das Problem wurde durch ein verbessertes Canvas-Taint-Tracking behoben.
CVE-ID
CVE-2015-3753: Antonio Sanso und Damien Antipa von Adobe
WebKit
Verfügbar für: Apple TV 3. Generation
Auswirkung: In böser Absicht erstellte Webinhalte könnten Klartextanfragen an einen Ursprung unter HTTP Strict Transport Security auslösen
Beschreibung: Es bestand ein Problem, bei dem Content Security Policy-Berichtsanfragen die HTTP Strict Transport Security (HSTS) nicht berücksichtigten. Dieses Problem wurde durch Anwendung von HSTS auf CSP behoben.
CVE-ID
CVE-2015-3750: Muneaki Nishimura (nishimunea)
WebKit
Verfügbar für: Apple TV 3. Generation
Auswirkung: Content Security Policy-Berichtsanfragen könnten Cookies preisgeben
Beschreibung: Es bestanden zwei Probleme dabei, wie Cookies zu Content Security Policy-Berichtsanfragen hinzugefügt wurden. Cookies wurden in ursprungsübergreifenden Berichtsanfragen entgegen des Standards gesendet. Cookies, die beim normalen Surfen festgelegt wurden, wurden beim privaten Surfen gesendet. Diese Probleme wurden durch eine verbesserte Cookie-Verarbeitung behoben.
CVE-ID
CVE-2015-3752: Muneaki Nishimura (nishimunea)
WebKit
Verfügbar für: Apple TV 3. Generation
Auswirkung: Das Laden von Bildern könnte die Content Security Policy-Richtlinie einer Website verletzen
Beschreibung: Es bestand ein Problem, bei dem durch die Verarbeitung von Webinhalten mit Videosteuerungen Bilder geladen wurden, die in Verletzung der Content Security Policy-Richtlinie der Website in Objektelemente verschachtelt wurden. Dieses Problem wurde durch eine verbesserte Durchsetzung der Content Security Policy behoben.
CVE-ID
CVE-2015-3751: Muneaki Nishimura (nishimunea)
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.