Informationen zum Sicherheitsinhalt von tvOS 11

In diesem Dokument wird der Sicherheitsinhalt von tvOS 11 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

tvOS 11

Veröffentlicht am 19. September 2017

802.1X

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer kann Schwachstellen in TLS 1.0 ausnutzen

Beschreibung: Ein Problem mit der Protokollsicherheit wurde durch Aktivieren von TLS 1.1 und TLS 1.2 behoben.

CVE-2017-13832: Doug Wussler von der Florida State University

Eintrag am 31. Oktober 2017 hinzugefügt und aktualisiert am 10. November 2017

CFNetwork

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13829: Niklas Baumstark und Samuel Gro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-13833: Niklas Baumstark und Samuel Gro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 10. November 2017 hinzugefügt

CFNetwork-Proxys

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service verursachen

Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7083: Abhinav Bansal von Zscaler Inc.

Eintrag am 25. September 2017 hinzugefügt

CoreAudio

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Lesevorgang außerhalb der Speicherbegrenzungen wurde durch Aktualisieren auf die Opus-Version 1.1.4 behoben.

CVE-2017-0381: V.E.O (@VYSEa) vom Mobile Threat Research Team, Trend Micro

Eintrag am 25. September 2017 hinzugefügt

CoreText

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Eintrag am 31. Oktober 2017 hinzugefügt

file

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Mehrere Probleme in file

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 5.31 behoben.

CVE-2017-13815

Eintrag am 31. Oktober 2017 hinzugefügt

Fonts

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Das Rendern von nicht vertrauenswürdigem Text kann zu Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13828: Leonard Grey und Robert Sesek von Google Chrome

Eintrag am 31. Oktober 2017 hinzugefügt und aktualisiert am 10. November 2017

HFS

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13830: Sergej Schumilo von der Ruhr-Universität Bochum

Eintrag am 31. Oktober 2017 hinzugefügt

ImageIO

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Eintrag am 31. Oktober 2017 hinzugefügt

ImageIO

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Bei der Verarbeitung von Festplatten-Images kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13831: Glen Carmichael

Eintrag am 31. Oktober 2017 hinzugefügt und aktualisiert am 10. November 2017

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen

Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13817: Maxime Villard (m00nbsd)

Eintrag am 31. Oktober 2017 hinzugefügt

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13818: Britisches National Cyber Security Centre (NCSC)

CVE-2017-13836: Ein anonymer Forscher, ein anonymer Forscher

CVE-2017-13841: Ein anonymer Forscher

CVE-2017-13840: Ein anonymer Forscher

CVE-2017-13842: Ein anonymer Forscher

CVE-2017-13782: Ein anonymer Forscher

Eintrag am 31. Oktober 2017 hinzugefügt

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13843: Ein anonymer Forscher, ein anonymer Forscher

Eintrag am 31. Oktober 2017 hinzugefügt

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7114: Alex Plaskett von MWR InfoSecurity

Eintrag am 25. September 2017 hinzugefügt

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13854: shrek_wzw vom Qihoo 360 Nirvan Team

Eintrag am 2. November 2017 hinzugefügt

Kernel

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Mach-Binärdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-13834: Maxime Villard (m00nbsd)

Eintrag am 10. November 2017 hinzugefügt

libarchive

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13813: Gefunden von OSS-Fuzz

CVE-2017-13816: Gefunden von OSS-Fuzz

Eintrag am 31. Oktober 2017 hinzugefügt

libarchive

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: In libarchive kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13812: Gefunden von OSS-Fuzz

Eintrag am 31. Oktober 2017 hinzugefügt

libc

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung in glob() durch einen verbesserten Algorithmus behoben.

CVE-2017-7086: Russ Cox von Google

Eintrag am 25. September 2017 hinzugefügt

libc

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann einen Denial-of-Service verursachen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-1000373

Eintrag am 25. September 2017 hinzugefügt

libexpat

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Mehrere Probleme in expat

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 2.2.1 behoben.

CVE-2016-9063

CVE-2017-9233

Eintrag am 25. September 2017 hinzugefügt

Übersicht

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Eintrag am 31. Oktober 2017 hinzugefügt

Sicherheit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Einem widerrufenen Zertifikat wird möglicherweise vertraut

Beschreibung: Bei der Verarbeitung von Widerrufsdaten bestand ein Problem bei der Überprüfung von Zertifikaten. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-7080: Ein anonymer Forscher, Sven Driemecker von adesso mobile solutions GmbH, Rune Darrud (@theflyingcorpse) aus der Kommune Bærum, ein anonymer Forscher

Eintrag am 25. September 2017 hinzugefügt

SQLite

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Mehrere Probleme in SQLite

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 3.19.3 behoben.

CVE-2017-10989: Gefunden von OSS-Fuzz

CVE-2017-7128: Gefunden von OSS-Fuzz

CVE-2017-7129: Gefunden von OSS-Fuzz

CVE-2017-7130: Gefunden von OSS-Fuzz

Eintrag am 25. September 2017 hinzugefügt

SQLite

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7127: Ein anonymer Forscher

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7081: Apple

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7092: Qixun Zhao (@S0rryMybad) vom Qihoo 360 Vulcan Team, Samuel Gro und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7093: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) von der Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7096: Wei Yuan vom Baidu Security Lab

CVE-2017-7098: Felipe Freitas vom Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa und Mario Heiderich von Cure53

CVE-2017-7102: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7104: likemeng vom Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7111: likemeng vom Baidu Security Lab (xlab.baidu.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7117: lokihardt von Google Project Zero

CVE-2017-7120: chenqin (陈钦) vom Ant-financial Light-Year Security Lab

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Cookies von einer Quelle können an eine andere Quelle gesendet werden

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde behoben, indem keine Cookies für benutzerdefinierte URL-Schemata mehr zurückgegeben werden.

CVE-2017-7090: Apple

Eintrag am 25. September 2017 hinzugefügt

WebKit

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Die Anwendungscache-Richtlinie wird möglicherweise unerwartet angewendet.

CVE-2017-7109: avlidienbrunn

Eintrag am 25. September 2017 hinzugefügt

WLAN

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-11120: Gal Beniamini von Google Project Zero

CVE-2017-11121: Gal Beniamini von Google Project Zero

Eintrag am 25. September 2017 hinzugefügt

WLAN

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7103: Gal Beniamini von Google Project Zero

CVE-2017-7105: Gal Beniamini von Google Project Zero

CVE-2017-7108: Gal Beniamini von Google Project Zero

CVE-2017-7110: Gal Beniamini von Google Project Zero

CVE-2017-7112: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann zur Ausführung willkürlichen Codes mit Kernel-Berechtigungen auf dem Anwendungsprozessor führen

Beschreibung: Mehrere Race-Bedingungen wurden durch eine verbesserte Überprüfung behoben.

CVE-2017-7115: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Böswilliger Code, der auf dem WLAN-Chip ausgeführt wird, kann beschränkten Kernel-Speicher auslesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7116: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann möglicherweise beschränkten Speicher des WLAN-Chips lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-11122: Gal Beniamini von Google Project Zero

Eintrag am 9. Oktober 2017 hinzugefügt

zlib

Verfügbar für: Apple TV (4. Generation)

Auswirkung: Mehrere Probleme in zlib

Beschreibung: Mehrere Probleme wurden durch eine Aktualisierung auf Version 1.2.11 behoben.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Eintrag am 25. September 2017 hinzugefügt

Zusätzliche Danksagung

Sicherheit

Wir danken Abhinav Bansal von Zscaler, Inc. für die Unterstützung.

WebKit

Wir danken Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter für die Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: