Über den Sicherheitsinhalt von tvOS 11
Dieses Dokument beschreibt den Sicherheitsinhalt von tvOS 11.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.
Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit . Sie können die Kommunikation mit Apple mit dem Apple Product Security PGP Key verschlüsseln.
Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .
tvOS 11
Veröffentlicht am 19. September 2017
802.1X
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer kann Schwachstellen in TLS 1.0 ausnutzen
Beschreibung: Ein Problem mit der Protokollsicherheit wurde durch Aktivieren von TLS 1.1 und TLS 1.2 behoben.
CVE-2017-13832: Doug Wussler von der Florida State University
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 10. November 2017
CFNetzwerk
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13829: Niklas Baumstark und Samuel Gro arbeiten mit der Zero Day Initiative von Trend Micro zusammen
CVE-2017-13833: Niklas Baumstark und Samuel Gro arbeiten mit der Zero Day Initiative von Trend Micro zusammen
Eintrag hinzugefügt am 10. November 2017
CFNetwork-Proxys
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer in einer privilegierten Position im Netzwerk kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7083: Abhinav Bansal von Zscaler Inc.
Eintrag hinzugefügt am 25. September 2017
CoreAudio
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Lesezugriff außerhalb der Grenzen wurde durch die Aktualisierung auf Opus Version 1.1.4 behoben.
CVE-2017-0381: VEO (@VYSEa) vom Mobile Threat Research Team, Trend Micro
Eintrag hinzugefügt am 25. September 2017
CoreText
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftartdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherverbrauchsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13825: Australian Cyber Security Center – Australian Signals Directorate
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 16. November 2018
Datei
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Mehrere Probleme in der Datei
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 5.31 behoben.
CVE-2017-13815: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 18. Oktober 2018
Schriftarten
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Rendern von nicht vertrauenswürdigem Text kann zu Spoofing führen
Beschreibung: Ein Problem mit einer inkonsistenten Benutzeroberfläche wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2017-13828: Leonard Gray und Robert Sesek von Google Chrome
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 10. November 2017
HFS
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13830: Sergej Schumilo von der Ruhr-Universität Bochum
Eintrag hinzugefügt am 31. Oktober 2017
ImageIO
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-13814: Australian Cyber Security Center – Australian Signals Directorate
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 16. November 2018
ImageIO
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem Denial-of-Service führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-13831: Glen Carmichael
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 3. April 2019
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein lokaler Benutzer kann Kernel-Speicher lesen
Beschreibung: Es bestand ein Leseproblem außerhalb der Grenzen, das zur Offenlegung des Kernelspeichers führte. Dies wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-13817: Maxime Villard (m00nbsd)
Eintrag hinzugefügt am 31. Oktober 2017
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13818: Das britische National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Zyrklevich
CVE-2017-13841: Vlad Zyrklevich
CVE-2017-13840: Vlad Zyrklevich
CVE-2017-13842: Vlad Zyrklevich
CVE-2017-13782: ein anonymer Forscher
Eintrag hinzugefügt am 31. Oktober 2017, aktualisiert am 18. Juni 2018
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13843: ein anonymer Forscher, ein anonymer Forscher
Eintrag hinzugefügt am 31. Oktober 2017
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Kernel-Privilegien ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7114: Alex Plaskett von MWR InfoSecurity
Eintrag hinzugefügt am 25. September 2017
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13854: shrek_wzw vom Qihoo 360 Nirvan Team
Eintrag hinzugefügt am 2. November 2017
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung einer fehlerhaften Mach-Binärdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Validierung behoben.
CVE-2017-13834: Maxime Villard (m00nbsd)
Eintrag hinzugefügt am 10. November 2017
Kernel
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine bösartige Anwendung kann möglicherweise Informationen über das Vorhandensein und den Betrieb anderer Anwendungen auf dem Gerät erhalten.
Beschreibung: Eine Anwendung konnte uneingeschränkt auf vom Betriebssystem verwaltete Netzwerkaktivitätsinformationen zugreifen. Dieses Problem wurde behoben, indem die für Anwendungen von Drittanbietern verfügbaren Informationen reduziert wurden.
CVE-2017-13873: Xiaokuan Zhang und Yinqian Zhang von der Ohio State University, Xueqiang Wang und XiaoFeng Wang von der Indiana University Bloomington und Xiaolong Bai von der Tsinghua University
Eintrag hinzugefügt am 30. November 2017
Bibliothek
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Pufferüberlaufproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13813: gefunden von OSS-Fuzz
CVE-2017-13816: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 31. Oktober 2017
Bibliothek
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: In libarchive bestanden mehrere Speicherbeschädigungsprobleme. Diese Probleme wurden durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-13812: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 31. Oktober 2017
libc
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Problem der Ressourcenerschöpfung in glob() wurde durch einen verbesserten Algorithmus behoben.
CVE-2017-7086: Russ Cox von Google
Eintrag hinzugefügt am 25. September 2017
libc
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Ein Speicherverbrauchsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-1000373
Eintrag hinzugefügt am 25. September 2017
libexpat
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Mehrere Probleme in expat
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 2.2.1 behoben
CVE-2016-9063
CVE-2017-9233
Eintrag hinzugefügt am 25. September 2017
libxml2
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-9049: Wei Lei und Liu Yang – Nanyang Technological University in Singapur
Eintrag hinzugefügt am 18. Oktober 2018
libxml2
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Pufferüberlaufproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-5130: ein anonymer Forscher
CVE-2017-7376: ein anonymer Forscher
Eintrag hinzugefügt am 18. Oktober 2018
libxml2
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstelltem XML kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-9050: Mateusz Jurczyk (j00ru) von Google Project Zero
Eintrag hinzugefügt am 18. Oktober 2018
Schneller Blick
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13822: Australian Cyber Security Center – Australian Signals Directorate
Eintrag hinzugefügt am 31. Oktober 2017
Sicherheit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Einem widerrufenen Zertifikat kann vertraut werden
Beschreibung: Bei der Verarbeitung von Sperrdaten bestand ein Problem mit der Zertifikatvalidierung. Dieses Problem wurde durch eine verbesserte Validierung behoben.
CVE-2017-7080: ein anonymer Forscher, Sven Driemecker von adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) von Bærum kommune, ein anonymer Forscher
Eintrag hinzugefügt am 25. September 2017
SQLite
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Mehrere Probleme in SQLite
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 3.19.3 behoben.
CVE-2017-10989: gefunden von OSS-Fuzz
CVE-2017-7128: gefunden von OSS-Fuzz
CVE-2017-7129: gefunden von OSS-Fuzz
CVE-2017-7130: gefunden von OSS-Fuzz
Eintrag hinzugefügt am 25. September 2017
SQLite
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Eine Anwendung kann möglicherweise beliebigen Code mit Systemberechtigungen ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7127: ein anonymer Forscher
Eintrag hinzugefügt am 25. September 2017
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2017-7081: Apple
Eintrag hinzugefügt am 25. September 2017
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherbeschädigungsprobleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan vom Baidu Security Lab arbeitet mit der Zero Day Initiative von Trend Micro zusammen
CVE-2017-7092: Qixun Zhao (@S0rryMybad) vom Qihoo 360 Vulcan Team, Samuel Gro und Niklas Baumstark arbeiten mit der Zero Day Initiative von Trend Micro zusammen
CVE-2017-7093: Samuel Gro und Niklas Baumstark arbeiten mit der Zero Day Initiative von Trend Micro zusammen
CVE-2017-7094: Tim Michaud (@TimGMichaud) von der Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University arbeiten mit der Zero Day Initiative von Trend Micro zusammen
CVE-2017-7096: Wei Yuan vom Baidu Security Lab
CVE-2017-7098: Felipe Freitas vom Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa und Mario Heiderich von Cure53
CVE-2017-7102: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University
CVE-2017-7104: likemeng von Baidu Secutity Lab
CVE-2017-7107: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University
CVE-2017-7111: Likemeng des Baidu Security Lab (xlab.baidu.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7117: Lokihardt von Google Project Zero
CVE-2017-7120: Chenqin (陈钦) von Ant-financial Light-Year Security Lab
Eintrag hinzugefügt am 25. September 2017
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Cookies, die zu einem Ursprung gehören, können an einen anderen Ursprung gesendet werden
Beschreibung: Bei der Verarbeitung von Webbrowser-Cookies bestand ein Berechtigungsproblem. Dieses Problem wurde behoben, indem keine Cookies mehr für benutzerdefinierte URL-Schemata zurückgegeben wurden.
CVE-2017-7090: Apple
Eintrag hinzugefügt am 25. September 2017
WebKit
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen
Beschreibung: Die Richtlinie für den Anwendungscache kann unerwartet angewendet werden.
CVE-2017-7109: Avlidienbrunn
Eintrag hinzugefügt am 25. September 2017
W-lan
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer in Reichweite kann möglicherweise beliebigen Code auf dem Wi-Fi-Chip ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-11120: Gal Beniamini von Google Project Zero
CVE-2017-11121: Gal Beniamini von Google Project Zero
Eintrag hinzugefügt am 25. September 2017
W-lan
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Bösartiger Code, der auf dem Wi-Fi-Chip ausgeführt wird, kann beliebigen Code mit Kernel-Privilegien auf dem Anwendungsprozessor ausführen
Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7103: Gal Beniamini von Google Project Zero
CVE-2017-7105: Gal Beniamini von Google Project Zero
CVE-2017-7108: Gal Beniamini von Google Project Zero
CVE-2017-7110: Gal Beniamini von Google Project Zero
CVE-2017-7112: Gal Beniamini von Google Project Zero
W-lan
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Bösartiger Code, der auf dem Wi-Fi-Chip ausgeführt wird, kann beliebigen Code mit Kernel-Privilegien auf dem Anwendungsprozessor ausführen
Beschreibung: Mehrere Rennbedingungen wurden durch eine verbesserte Validierung behoben.
CVE-2017-7115: Gal Beniamini von Google Project Zero
W-lan
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Bösartiger Code, der auf dem Wi-Fi-Chip ausgeführt wird, kann eingeschränkten Kernel-Speicher lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-7116: Gal Beniamini von Google Project Zero
W-lan
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Ein Angreifer in Reichweite kann eingeschränkten Speicher aus dem Wi-Fi-Chipsatz lesen
Beschreibung: Ein Validierungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-11122: Gal Beniamini von Google Project Zero
Eintrag hinzugefügt am 9. Oktober 2017
zlib
Verfügbar für: Apple TV (4. Generation)
Auswirkung: Mehrere Probleme in zlib
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 1.2.11 behoben.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Eintrag hinzugefügt am 25. September 2017
Zusätzliche Anerkennung
Sicherheit
Wir danken Abhinav Bansal von Zscaler, Inc. für seine Unterstützung.
WebKit
Wir möchten Rayyan Bijoora (@Bijoora) von der City School, PAF Chapter, für ihre Unterstützung danken.
Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich an den Anbieter , um weitere Informationen zu erhalten.
No comments:
Post a Comment