เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้รหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเกี่ยวกับความเสี่ยงต่างๆ
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู รายการอัปเดตความปลอดภัยของ Apple
Apple TV 7
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้โจมตีสามารถรับข้อมูลประจำตัว Wi-Fi ได้
คำอธิบาย: ผู้โจมตีอาจปลอมเป็นจุดเข้าถึงสัญญาณ Wi-Fi ที่เสนอการรับรองความถูกต้องด้วย LEAP ทำลายแฮช MS-CHAPv1 และใช้ข้อมูลประจำตัวที่ได้มาเพื่อรับรองความถูกต้องสำหรับจุดเข้าถึงสัญญาณที่ตั้งใจไว้ แม้ว่าจุดเข้าถึงสัญญาณนั้นจะรองรับวิธีการรับรองความถูกต้องที่ดีกว่าก็ตาม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบการรองรับ LEAP
CVE-ID
CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax และ Wim Lamotte จาก Universiteit Hasselt
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้โจมตีที่สามารถเข้าใช้งานอุปกรณ์อาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้จากบันทึก
คำอธิบาย: ข้อมูลที่ละเอียดอ่อนของผู้ใช้ถูกบันทึกไว้ ปัญหานี้แก้ไขได้ด้วยการจัดทำบันทึกข้อมูลให้น้อยลง
CVE-ID
CVE-2014-4357 : Heli Myllykoski จาก OP-Pohjola Group
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้อุปกรณ์คิดว่าเครื่องอัพเดทแล้วแม้ว่าจะไม่ยังไม่อัพเดทก็ตาม
คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในการจัดการการตอบสนองการตรวจสอบการอัพเดท วันที่ปลอมจากส่วนหัวการตอบสนองแบบ Last-Modified ที่ตั้งให้เป็นวันที่ในอนาคตถูกใช้สำหรับการตรวจสอบแบบ If-Modified-Since ในการร้องขอการอัพเดทครั้งถัดไป ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันส่วนหัวแบบ Last-Modified
CVE-ID
CVE-2014-4383 : Raul Siles จาก DinoSec
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาจำนวนเต็มล้นในการจัดการไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4377 : Felipe Andres Manzano จาก Binamuse VRT ที่ทำงานร่วมกับโปรแกรม iSIGHT Partners GVP
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการเปิดเผยข้อมูล
คำอธิบาย: มีปัญหาการอ่านหน่วยความจำนอกขอบเขตในการจัดการไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4378 : Felipe Andres Manzano จาก Binamuse VRT ที่ทำงานร่วมกับโปรแกรม iSIGHT Partners GVP
- Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นอาจทำให้ระบบหยุดโดยไม่คาดคิด
คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการอาร์กิวเมนต์ IOAcceleratorFamily API ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบยืนยันอาร์กิวเมนต์ IOAcceleratorFamily API ที่ปรับปรุงให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4369 : Sarah aka winocm และ Cererdlong จากทีมรักษาความปลอดภัย Alibaba Mobile
เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: อุปกรณ์อาจรีสตาร์ทโดยไม่คาดคิด
คำอธิบาย: มีภัยคุกคามแบบ NULL Pointer Dereference ในไดรเวอร์ IntelAccelerator ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดการข้อผิดพลาดที่ปรับปรุงให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4373 : cunzhang จาก Adlab จาก Venustech
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถอ่านตัวชี้เคอร์เนล ซึ่งสามารถนำไปใช้บายพาสการจองหน่วยความจำแบบสุ่ม (ASLR) เคอร์เนลได้
คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการจัดการฟังก์ชั่น IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4379 : Ian Beer จาก Google Project Zero
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการคุณสมบัติการเทียบปุ่มของ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4404 : Ian Beer จาก Google Project Zero
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มี Null Pointer Dereference ในการจัดการคุณสมบัติการเทียบปุ่มของ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันการจัดการคุณสมบัติการเทียบผังที่สำคัญของ IOHIDFamily ที่ปรับปรุงให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4405 : Ian Beer จาก Google Project Zero
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาการเขียนนอกขอบเขตในส่วนขยายเคอร์เนล IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4380 : cunzhang จาก Adlab จาก Venustech
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านข้อมูลยังไม่ได้กำหนดค่าได้จากหน่วยความจำเคอร์เนล
คำอธิบาย: ปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่ามีอยู่ในการจัดการฟังก์ชั่น IOKit ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการกำหนดค่าหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4407 : @PanguTeam
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในการจัดการช่องข้อมูลเมต้าบางช่องของออบเจกต์ IODataQueue ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันข้อมูลเมต้าที่ปรับปรุงให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4418 : Ian Beer จาก Google Project Zero
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในการจัดการช่องข้อมูลเมต้าบางช่องของออบเจกต์ IODataQueue ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันข้อมูลเมต้าที่ปรับปรุงให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4388 : @PanguTeam
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีจำนวนเต็มล้นอยู่ในการจัดการฟังก์ชั่น IOKit ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบยืนยันอาร์กิวเมนต์ IOKit API ให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4389 : Ian Beer จาก Google Project Zero
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาหน่วยความจำที่ยังไม่ได้กำหนดค่าจำนวนมากในอินเทอร์เฟซสถิติเครือข่าย ซึ่งทำให้มีการเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการกำหนดค่าเริ่มต้นหน่วยความจำเพิ่มเติม
CVE-ID
CVE-2014-4371: Fermin J. Serna จากทีมรักษาความปลอดภัยของ Google
CVE-2014-4419: Fermin J. Serna จากทีมรักษาความปลอดภัยของ Google
CVE-2014-4420: Fermin J. Serna จากทีมรักษาความปลอดภัยของ Google
CVE-2014-4421 : Fermin J. Serna จากทีมรักษาความปลอดภัยของ Google
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้ที่มีตำแหน่งที่มีสิทธิ์อาจทำให้เกิดการปฏิเสธบริการ
คำอธิบาย: มีปัญหาเงื่อนไขการแข่งขันในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบสถานะการล็อกให้ดียิ่งขึ้น
CVE-ID
CVE-2011-2391 : Marc Heuse
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจในเคอร์เนล
คำอธิบาย: มีปัญหา Double Free ในการจัดการพอร์ต Mach ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบความถูกต้องของพอร์ต Mach ที่ปรับปรุงให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4375
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจในเคอร์เนล
คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตใน rt_setgate ซึ่งอาจทำให้มีการเปิดเผยหน่วยความจำหรือทำให้หน่วยความจำเสียหายได้ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4408
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: มาตรการรักษาความปลอดภัยแบบ Kernel Hardening บางอย่างอาจถูกบายพาส
คำอธิบาย: ตัวสร้างเลขสุ่ม 'ก่อนเวลา' ถูกใช้ในมาตรการรักษาความปลอดภัยแบบ Kernel Hardening บางอย่างไม่ได้รับความปลอดภัยจากการเข้ารหัส และบางเอาต์พุตถูกเปิดเผยต่อ User Space ทำให้สามารถบายพาสมาตรการรักษาความปลอดภัยแบบ Kernel Hardening ได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการแทนที่ตัวสร้างเลขสุ่มด้วยอัลกอริธึ่มที่ปลอดภัยด้วยการเข้ารหัสและใช้ Seed แบบ 16 ไบต์
CVE-ID
CVE-2014-4422 : Tarjei Mandt จาก Azimuth Security
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ระดับราก
คำอธิบาย: มีปัญหาการเขียนนอกขอบเขตใน Libnotify ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4381 : Ian Beer จาก Google Project Zero
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้ใช้เฉพาะอาจสามารถเปลี่ยนสิทธิ์อนุญาตบนไฟล์ได้โดยอำเภอใจ
คำอธิบาย: syslogd ติดตามลิงก์สัญลักษณ์ในขณะที่เปลี่ยนสิทธิ์อนุญาตบนไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดการลิงก์สัญลักษณ์ที่ปรับปรุงให้ดียิ่งขึ้น
CVE-ID
CVE-2014-4372 : Tielei Wang และ YeongJin Jang จาก Georgia Tech Information Security Center (GTISC)
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2013-6663 : Atte Kettunen จาก OUSPG
CVE-2014-1384 : Apple
CVE-2014-1385 : Apple
CVE-2014-1387 : ทีมรักษาความปลอดภัยของ Google Chrome
CVE-2014-1388 : Apple
CVE-2014-1389 : Apple
CVE-2014-4410 : Eric Seidel จาก Google
CVE-2014-4411 : ทีมรักษาความปลอดภัยของ Google Chrome
CVE-2014-4412 : Apple
CVE-2014-4413 : Apple
CVE-2014-4414 : Apple
CVE-2014-4415 : Apple