Informationen zum Sicherheitsinhalt von tvOS 10.1.1
In diesem Dokument wird der Sicherheitsinhalt von tvOS 10.1.1 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
tvOS 10.1.1
APN-Server
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Aktivitäten eines Benutzers nachverfolgen
Beschreibung: Ein Client-Zertifikat wurde in Klartext gesendet. Dieses Problem wurde durch eine verbesserte Zertifikatverarbeitung behoben.
CVE-2017-2383: Matthias Wachs und Quirin Scheitle von der Technischen Universität München (TUM)
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2370: Ian Beer vom Google Project Zero
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2360: Ian Beer vom Google Project Zero
libarchive
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-8687: Agostino Sarubbo von Gentoo
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.
CVE-2017-2350: Gareth Heyes von Portswigger Web Security
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2354: Neymar vom Xuanwu Lab von Tencent (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2362: Ivan Fratric von Google Project Zero
CVE-2017-2373: Ivan Fratric von Google Project Zero
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2355: Team Pangu und lokihardt beim PwnFest 2016
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2356: Team Pangu und lokihardt beim PwnFest 2016
CVE-2017-2369: Ivan Fratric von Google Project Zero
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.
CVE-2017-2363: lokihardt von Google Project Zero
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Bei der Verarbeitung von Variablen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-2365: lokihardt von Google Project Zero
Zusätzliche Danksagung
WebKit-Härtung
Wir danken Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos und Cristiano Giuffrida von der vusec-Gruppe an der Freien Universität Amsterdam für ihre Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.