Informationen zum Sicherheitsinhalt von tvOS 10

In diesem Dokument wird der Sicherheitsinhalt von tvOS 10 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

tvOS 10

Veröffentlicht am 13. September 2016

Audio

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer kann aus der Ferne willkürlichen Code ausführen

Beschreibung: Ein Arbeitspeicherfehler wurde durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park und Taekyoung Kwon vom Information Security Lab, Universität Yonsei

Eingetragen am 20. September 2016

CFNetwork

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Verarbeitung von schadhaften Webinhalten können Benutzerdaten kompromittiert werden

Beschreibung: Bei der Analyse des Set-Cookie-Headers bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Fehlerüberprüfung behoben.

CVE-2016-4708: Dawid Czagan vom Silesia Security Lab

Eingetragen am 20. September 2016

CoreCrypto

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code ausführen

Beschreibung: Ein Problem mit grenzüberschreitenden Schreibvorgängen wurde durch das Entfernen des gefährdeten Codes behoben.

CVE-2016-4712: Gergo Koteles

Eintrag am 20. September 2016 hinzugefügt

FontParser

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Verarbeitung von schadhaften Schriften kann Prozessspeicher offengelegt werden

Beschreibung: Bei der Verarbeitung von Schrift-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-4718: Apple

Eingetragen am 20. September 2016

IOAcceleratorFamily

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Durch die Analyse von schadhaften Webinhalten kann Prozessspeicher offengelegt werden

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-4725: Rodger Combs von Plex, Inc.

Eintrag am 20. September 2016 hinzugefügt

IOAcceleratorFamily

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen

Beschreibung: Ein Speicherproblem wurde durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-4726: ein anonymer Forscher

Eingetragen am 20. September 2016

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer kann aus der Ferne einen Denial-of-Service verursachen

Beschreibung: Ein Problem bei der Verarbeitung der Sperre wurde durch eine verbesserte Verarbeitung der Sperre behoben.

CVE-2016-4772: Marc Heuse von mh-sec

Eingetragen am 20. September 2016

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Das Layout des Kernelspeichers kann von einem Programm ermittelt werden

Beschreibung: Es bestanden mehrere Probleme, die den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichten. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Eingetragen am 20. September 2016

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein lokaler Benutzer kann willkürlichen Code mit Kernelrechten ausführen

Beschreibung: Ein Speicherproblem wurde durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-4775: Brandon Azad

Eintrag am 20. September 2016 hinzugefügt

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen

Beschreibung: Ein nicht vertrauenswürdiger NULL-Zeiger-Rückverweis wurde durch das Entfernen des betroffenen Codes behoben.

CVE-2016-4777: Lufeng Li vom Qihoo 360 Vulcan-Team

Eingetragen am 20. September 2016

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernelrechten ausführen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-4778: CESG

Eingetragen am 20. September 2016

libxml2

Verfügbar für: Apple TV (4. Generation)

Auswirkung: In libxml2 entstehen mehrere Probleme, die schlimmstenfalls zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen können

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Eintrag am 20. September 2016 hinzugefügt

libxslt

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von schadhaften Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherproblem wurde durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-4738: Nick Wellnhofer

Eintrag am 20. September 2016 hinzugefügt

Sicherheit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

Beschreibung: Bei signierten Festplatten-Images bestand ein Problem mit der Überprüfung. Dieses Problem wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2016-4753: Mark Mentovai von Google Inc.

Eingetragen am 20. September 2016

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von schadhaften Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Fehlerprototypen bestand ein Analyseproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2016-4728: Daniel Divricean

Eingetragen am 20. September 2016

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von schadhaften Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: Natalie Silvanovich vom Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo von Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eingetragen am 20. September 2016

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von schadhaften Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2016-4733: Natalie Silvanovich vom Google Project Zero

CVE-2016-4765: Apple

Eingetragen am 20. September 2016

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2016-4764: Apple

Eintrag hinzugefügt am 3. November 2016

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: