เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13.2
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
tvOS 13.2
บัญชี
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8787: Steffen Klee จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
App Store
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าสู่ระบบบัญชีของผู้ใช้ที่เคยเข้าสู่ระบบไว้ก่อนหน้าโดยไม่มีข้อมูลประจำตัวที่ถูกต้องได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
เสียง
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8785: Ian Beer จาก Google Project Zero
CVE-2019-8797: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure
AVEVideoEncoder
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8795: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure
กิจกรรมระบบไฟล์
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8798: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8794: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8786: Wen Xu จาก Georgia Tech, Microsoft Offensive Security Research Intern
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2019-8829: Jann Horn จาก Google Project Zero
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8813: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8782: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8783: Cheolung Lee จาก LINE+ Graylab Security Team
CVE-2019-8808: พบโดย OSS-Fuzz
CVE-2019-8811: Soyeon Park จาก SSLab ที่ Georgia Tech
CVE-2019-8812: JunDong Xie จาก Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8816: Soyeon Park จาก SSLab ที่ Georgia Tech
CVE-2019-8819: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8820: Samuel Groß จาก Google Project Zero
CVE-2019-8821: Sergei Glazunov จาก Google Project Zero
CVE-2019-8822: Sergei Glazunov จาก Google Project Zero
CVE-2019-8823: Sergei Glazunov จาก Google Project Zero
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยไซต์ที่ผู้ใช้เคยเข้าดู
คำอธิบาย: อาจมีการใช้ส่วนหัวของข้อมูล HTTP เพื่อทำให้ประวัติการเรียกดูรั่วไหล ปัญหานี้ได้รับการแก้ไขแล้วโดยการดาวน์เกรดส่วนหัวที่เป็นของบริษัทอื่นให้เหลือเพียงต้นทาง
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum และ Roberto Clapis จาก Google Security Team
แบบจำลองกระบวนการ WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8815: Apple
คำขอบคุณพิเศษ
CFNetwork
เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google
เคอร์เนล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Daniel Roethlisberger จาก Swisscom CSIRT, Jann Horn จาก Google Project Zero
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Dlive จาก Xuanwu Lab ของ Tencent และ Zhiyi Zhang จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม