เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 11.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 11.2
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
tvOS 11.2
App Store
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมการขอรหัสผ่านใน App Store ได้
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-7164: Jerry Decime
ปลดล็อคโดยอัตโนมัติ
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2017-13905: Samuel Groß (@5aelo)
CFNetwork Session
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7172: Richard Zhu (fluorescence) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreAnimation
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับที่สูงขึ้นได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7171: 360 Security ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ Tencent Keen Security Lab (@keen_lab) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreFoundation
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2017-7151: Samuel Groß (@5aelo)
IOKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOSurface
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13861: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13904: Kevin Backhouse จาก Semmle Ltd.
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้ (Meltdown)
คำอธิบาย: ระบบที่มีไมโครโปรเซสเซอร์ที่ใช้ Speculative Execution (การดำเนินการเชิงคาดเดา) และ Indirect Branch Prediction อาจทำให้เกิดการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตต่อผู้โจมตีที่มีสิทธิ์เข้าใช้ของผู้ใช้เฉพาะเครื่องผ่านการวิเคราะห์แคชข้อมูลโดยอาศัยผลข้างเคียง
CVE-2017-5754: Jann Horn จาก Google Project Zero, Moritz Lipp จาก Graz University of Technology, Michael Schwarz จาก Graz University of Technology, Daniel Gruss จาก Graz University of Technology, Thomas Prescher จาก Cyberus Technology GmbH, Werner Haas จาก Cyberus Technology GmbH, Stefan Mangard จาก Graz University of Technology, Paul Kocher, Daniel Genkin จาก University of Pennsylvania และ University of Maryland, Yuval Yarom จาก University of Adelaide และ Data61 และ Mike Hamburg จาก Rambus (แผนก Cryptography Research)
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13862: Apple
CVE-2017-13867: Ian Beer จาก Google Project Zero
CVE-2017-13876: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2017-7173: Brandon Azad
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13855: Jann Horn จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13865: Ian Beer จาก Google Project Zero
CVE-2017-13868: Brandon Azad
CVE-2017-13869: Jann Horn จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-7154: Jann Horn จาก Google Project Zero
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13885: 360 Security ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7165: 360 Security ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13884: 360 Security ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้
คำอธิบาย: การตอบสนองต่อการเปลี่ยนเส้นทางไปยังข้อผิดพลาด 401 Unauthorized อาจอนุญาตให้เว็บไซต์ที่ประสงค์ร้ายแสดงไอคอนแม่กุญแจที่ไม่ถูกต้องบนคอนเทนต์ประเภทต่างๆ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะการแสดงผล URL ให้ดียิ่งขึ้น
CVE-2017-7153: Jerry Decime
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7156: Yuan Deng จาก Ant-financial Light-Year Security Lab
CVE-2017-7157: นักวิจัยนิรนาม
CVE-2017-13856: Jeonghoon Shin
CVE-2017-13870: Tencent Keen Security Lab (@keen_lab) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2017-7160: Richard Zhu (fluorescence) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2017-13866: Tencent Keen Security Lab (@keen_lab) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Wi-Fi
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์มัลติคาสต์ WPA/GTK ได้ (Key Reinstallation Attacks - KRACK)
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม