เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 9.2.1
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 9.2.1
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการดูเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ รายการอัปเดตความปลอดภัยของ Apple
tvOS 9.2.1
CFNetwork Proxies
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีในตําแหน่งของเครือข่ายที่ได้รับสิทธิ์อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คําอธิบาย: มีการรั่วไหลของข้อมูลในการจัดการคําขอ HTTP และ HTTPS ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1801 : Alex Chapman และ Paul Stone จาก Context Information Security
CommonCrypto
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันที่เป็นอันตรายอาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คําอธิบาย: มีปัญหาในการจัดการค่าที่ส่งคืนใน CCCrypt ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการความยาวคีย์ให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1802 : Klaus Rodewig
CoreCapture
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถรันโค้ดโดยพลการโดยใช้สิทธิ์เคอร์เนล
คําอธิบาย: การอ่านตำแหน่งตัวชี้ค่าว่างได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1803 : Ian Beer จาก Google Project Zero ที่ทุ่มเททำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Disk Images
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถอ่านหน่วยความจําเคอร์เนลได้
คำอธิบาย: สภาวะเงื่อนไขการแย่งชิง (Race Condition) ได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1807 : Ian Beer จาก Google Project Zero
Disk Images
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถรันโค้ดโดยพลการโดยใช้สิทธิ์เคอร์เนล
คำอธิบาย: มีปัญหาหน่วยความจําเสียหายในการแยกวิเคราะห์ภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1808 : Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro
ImageIO
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การปฏิเสธบริการ
คําอธิบาย: การอ่านตำแหน่งตัวชี้ค่าว่างได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1811 : Lander Brandt (@landaire)
IOAcceleratorFamily
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถรันโค้ดโดยพลการโดยใช้สิทธิ์เคอร์เนล
คําอธิบาย: ปัญหาหน่วยความจําเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจําให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1817 : Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-1818: Juwei Lin จาก TrendMicro, sweetchip@GRAYHASH ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
อัปเดตรายการเมื่อวันที่ 13 ธันวาคม 2016
IOAcceleratorFamily
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถทําให้เกิดการปฏิเสธบริการ
คําอธิบาย: การอ่านตำแหน่งตัวชี้ค่าว่างได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1814 : Juwei Lin จาก TrendMicro
IOAcceleratorFamily
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถรันโค้ดโดยพลการโดยใช้สิทธิ์เคอร์เนล
คําอธิบาย: ช่องโหว่จากหน่วยความจําเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1819 : Ian Beer จาก Google Project Zero
IOAcceleratorFamily
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถรันโค้ดโดยพลการโดยใช้สิทธิ์เคอร์เนล
คําอธิบาย: การอ่านตำแหน่งตัวชี้ค่าว่างได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1813 : Ian Beer จาก Google Project Zero
IOHIDFamily
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถรันโค้ดโดยพลการโดยใช้สิทธิ์เคอร์เนล
คําอธิบาย: ปัญหาหน่วยความจําเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1823 : Ian Beer จาก Google Project Zero
CVE-2016-1824 : Marco Grassi (@marcograss) จาก KeenLab (@keen_lab), Tencent
CVE-2016-4650 : Peter Pi จาก Trend Micro ที่ทำงานร่วมกับ HPs Zero Day Initiative
Kernel
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถรันโค้ดโดยพลการโดยใช้สิทธิ์เคอร์เนล
คําอธิบาย: ปัญหาหน่วยความจําเสียหายหลายรายการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1827 : Brandon Azad
CVE-2016-1828 : Brandon Azad
CVE-2016-1829 : CESG
CVE-2016-1830 : Brandon Azad
libc
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: ปัญหาหน่วยความจําเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1832 : Karl Williamson
libxml2
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: ปัญหาหน่วยความจําเสียหายหลายรายการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1833 : Mateusz Jurczyk
CVE-2016-1834 : Apple
CVE-2016-1836 : Wei Lei และ Liu Yang จาก Nanyang Technological University
CVE-2016-1837 : Wei Lei และ Liu Yang จาก Nanyang Technological University
CVE-2016-1838 : Mateusz Jurczyk
CVE-2016-1839 : Mateusz Jurczyk
CVE-2016-1840 : Kostya Serebryany
libxslt
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การรันโค้ดโดยพลการ
คําอธิบาย: ปัญหาหน่วยความจําเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1841 : Sebastian Apelt
OpenGL
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การรันโค้ดโดยพลการ
คําอธิบาย: ปัญหาหน่วยความจําเสียหายหลายรายการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1847 : Tongbo Luo และ Bo Qu จาก Palo Alto Networks
WebKit
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลจากเว็บไซต์อื่น
คําอธิบาย: ปัญหาการติดตามจุดบกพร่องไม่เพียงพอในการแยกวิเคราะห์ภาพ svg ได้รับการแก้ไขแล้วผ่านการปรับปรุงการติดตามจุดบกพร่องให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1858 : นักวิจัยนิรนาม
WebKit
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การรันโค้ดโดยพลการ
คําอธิบาย: ปัญหาหน่วยความจําเสียหายหลายรายการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจําให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1854 : บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-1855 : Tongbo Luo และ Bo Qu จาก Palo Alto Networks
CVE-2016-1856 : lokihardt ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-1857 : Jeonghoon Shin@A.D.D, Liang Chen, Zhen Feng, wushi จาก KeenLab, Tencent ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit Canvas
พร้อมให้ใช้งานสําหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การรันโค้ดโดยพลการ
คําอธิบาย: ปัญหาหน่วยความจําเสียหายหลายรายการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจําให้ดียิ่งขึ้น
CVE-ID
CVE-2016-1859 : Liang Chen, wushi จาก KeenLab, Tencent ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม