Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple versleutelen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
tvOS 10.2
Releasedatum: 27 maart 2017
Audio
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2430: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2017-2462: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
Carbon
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-2017-2379: John Villamil, Doyensec, riusksk (泉哥) van Tencent Security Platform Department
CoreGraphics
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service
Beschrijving: een oneindige recursie is verholpen door middel van verbeterd statusbeheer.
CVE-2017-2417: riusksk (泉哥) van Tencent Security Platform Department
CoreGraphics
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.
CVE-2017-2444: Mei Wang van 360 GearTeam
CoreText
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd tekstbericht kan leiden tot een denial of service van het programma
Beschrijving: er is een bronuitputtingsprobleem aangepakt door verbeterde invoervalidatie.
CVE-2017-2461: een anonieme onderzoeker, Isaac Archambault van IDAoADI
FontParser
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.
CVE-2017-2487: riusksk (泉哥) van Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) van Tencent Security Platform Department
FontParser
Beschikbaar voor: Apple TV (4e generatie)
Impact: het parseren van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.
CVE-2017-2407: riusksk (泉哥) van Tencent Security Platform Department
FontParser
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2017-2439: John Villamil, Doyensec
HTTP-protocol
Beschikbaar voor: Apple TV (4e generatie)
Impact: een kwaadwillige HTTP/2-server veroorzaakt mogelijk ongedefinieerd gedrag
Beschrijving: er waren meerdere problemen in versies van nghttp2 die lager zijn dan 1.17.0. Deze zijn verholpen door nghttp2 bij te werken naar versie 1.17.0.
CVE-2017-2428
Bijgewerkt op 28 maart 2017
ImageIO
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) van KeenLab, Tencent
ImageIO
Beschikbaar voor: Apple TV (4e generatie)
Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2432: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
ImageIO
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2467
ImageIO
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma
Beschrijving: Er was een probleem met lezen buiten het bereik in LibTIFF-versies lager dan 4.0.7. Dit probleem is verholpen door LibTIFF in ImageIO bij te werken naar versie 4.0.7.
CVE-2016-3619
JavaScriptCore
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2017-2491: Apple
Toegevoegd op 2 mei 2017
JavaScriptCore
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde webpagina kan leiden tot universele cross-site-scripting
Beschrijving: een probleem met prototypen is verholpen door verbeterde logica.
CVE-2017-2492: lokihardt van Google Project Zero
Bijgewerkt op 24 april 2017
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2401: Lufeng Li van Qihoo 360 Vulcan Team
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.
CVE-2017-2440: een anonieme onderzoeker
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden
Beschrijving: een 'race condition' is verholpen door verbeterde geheugenverwerking.
CVE-2017-2456: lokihardt van Google Project Zero
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2017-2472: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2473: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem 'off-by-one' is verholpen door een verbeterde controle van de grenzen.
CVE-2017-2474: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een racevoorwaarde is verholpen via verbeterde vergrendeling.
CVE-2017-2478: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2482: Ian Beer van Google Project Zero
CVE-2017-2483: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2490: Ian Beer van Google Project Zero, het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk
Toegevoegd op 31 maart 2017
Toetsenborden
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren
Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.
CVE-2017-2458: Shashank (@cyberboyIndia)
Sleutelhanger
Beschikbaar voor: Apple TV (4e generatie)
Impact: een aanvaller die TLS-verbindingen kan onderscheppen, kan geheimen lezen die worden beveiligd door iCloud-sleutelhanger.
Beschrijving: Onder bepaalde omstandigheden kan iCloud-sleutelhanger de authenticiteit van OTR-pakketten niet valideren. Dit probleem is verholpen door een verbeterde validatie.
CVE-2017-2448: Alex Radocea van Longterm Security, Inc.
Bijgewerkt op 30 maart 2017
libarchive
Beschikbaar voor: Apple TV (4e generatie)
Impact: een lokale aanvaller kan de bestandssysteembevoegdheden voor willekeurige mappen wijzigen
Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2017-2390: Omer Medan van enSilo Ltd
libc++abi
Beschikbaar voor: Apple TV (4e generatie)
Impact: het herstellen van een kwaadwillig C++-programma kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2017-2441
libxslt
Beschikbaar voor: Apple TV (4e generatie)
Impact: meerdere kwetsbaarheden in libxslt
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-5029: Holger Fuhrmannek
Toegevoegd op 28 maart 2017
Beveiliging
Beschikbaar voor: Apple TV (4e generatie)
Impact: een programma kan willekeurige code uitvoeren met rootbevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.
CVE-2017-2451: Alex Radocea van Longterm Security, Inc.
Beveiliging
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd x509-certificaat kan leiden tot het uitvoeren van willekeurige code
Beschrijving: Er was een probleem met geheugenbeschadiging bij het parseren van certificaten. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2017-2485: Aleksandar Nikolic van Cisco Talos
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens
Beschrijving: een probleem met toegang tot prototypen is verholpen door een verbeterde verwerking van uitzonderingen.
CVE-2017-2386: André Bargull
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric van Google Project Zero, Zheng Huang van Baidu Security Lab in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2017-2455: Ivan Fratric van Google Project Zero
CVE-2017-2459: Ivan Fratric van Google Project Zero
CVE-2017-2460: Ivan Fratric van Google Project Zero
CVE-2017-2464: natashenka van Google Project Zero, Jeonghoon Shin
CVE-2017-2465: Zheng Huang en Wei Yuan van Baidu Security Lab
CVE-2017-2466: Ivan Fratric van Google Project Zero
CVE-2017-2468: lokihardt van Google Project Zero
CVE-2017-2469: lokihardt van Google Project Zero
CVE-2017-2470: lokihardt van Google Project Zero
CVE-2017-2476: Ivan Fratric van Google Project Zero
CVE-2017-2481: 0011 in samenwerking met het Zero Day Initiative van Trend Micro
Bijgewerkt op 20 juni 2017
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met verwarring van het type is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2415: Kai Kang van het Xuanwu Lab van Tencent (tencent.com)
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot hoog geheugenverbruik
Beschrijving: een probleem met onbeheerd bronverbruik is opgelost door verbeterde regex-verwerking.
CVE-2016-9643: Gustavo Grieco
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: Er was een validatieprobleem bij het verwerken van het laden van pagina's. Dit probleem is verholpen door een verbeterde logica.
CVE-2017-2367: lokihardt van Google Project Zero
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting
Beschrijving: Er was een logisch probleem bij de verwerking van frame-objecten. Dit probleem is opgelost door een verbeterd statusbeheer.
CVE-2017-2445: lokihardt van Google Project Zero
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: Er was een logisch probleem bij de verwerking van strikte modusfuncties. Dit probleem is opgelost door een verbeterd statusbeheer.
CVE-2017-2446: natashenka van Google Project Zero
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het bezoeken van een kwaadwillig vervaardigde website kan gebruikersinformatie in gevaar brengen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2447: natashenka van Google Project Zero
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2463: Kai Kang (4B5F5F4B) van het Xuanwu Lab van Tencent (tencent.com) in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 28 maart 2017
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting
Beschrijving: Er was een logisch probleem bij de verwerking van frames. Dit probleem is verholpen door een verbeterd statusbeheer.
CVE-2017-2475: lokihardt van Google Project Zero
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens
Beschrijving: Er was een validatieprobleem bij het verwerken van elementen. Dit probleem is verholpen door een verbeterde validatie.
CVE-2017-2479: lokihardt van Google Project Zero
Toegevoegd op 28 maart 2017
WebKit
Beschikbaar voor: Apple TV (4e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens
Beschrijving: Er was een validatieprobleem bij het verwerken van elementen. Dit probleem is verholpen door een verbeterde validatie.
CVE-2017-2480: lokihardt van Google Project Zero
CVE-2017-2493: lokihardt van Google Project Zero
Bijgewerkt op 24 april 2017
Aanvullende erkenning
XNU
Met dank aan Lufeng Li van Qihoo 360 Vulcan Team voor zijn hulp.