เกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 7.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Apple TV 7.2
เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย เพื่อเรียนรู้เกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูเว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับรหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีการใช้รหัส PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple"
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ
เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple
Apple TV 7.2
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในออบเจ็กต์ IOKit ที่ใช้ในไดรเวอร์เสียง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันข้อมูลเมต้าที่ปรับปรุงให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1086
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชั่นที่ใช้ NSXMLParser อาจถูกนำมาใช้ในทางที่ผิดเพื่อเปิดเผยข้อมูล
คำอธิบาย: มีปัญหาเอ็นทิตี้ภายนอก XML ในการจัดการ XML ของ NSXMLParser ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่โหลดเอ็นทิตี้ภายนอกข้ามต้นฉบับ
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาใน IOAcceleratorFamily ที่นำไปสู่การเปิดเผยเนื้อหาของหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบรหัสที่ไม่จำเป็น
CVE-ID
CVE-2015-1094: Cererdlong แห่งทีมรักษาความปลอดภัยของ Alibaba Mobile
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: อุปกรณ์ HID ที่ประสงค์ร้ายอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน API ใน IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1095: Andrew Church
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาใน IOHIDFamily ที่นำไปสู่การเปิดเผยเนื้อหาของหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1096: Ilja van Sprundel แห่ง IOActive
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชั่นที่ประสงค์ร้ายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาใน MobileFrameBuffer ที่นำไปสู่การเปิดเผยเนื้อหาของหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1097: Barak Gabai แห่งทีมวิจัยด้านความปลอดภัยของแอปพลิเคชันของ IBM X-Force
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ
คำอธิบาย: มีสภาวะการแข่งขันในการเรียกระบบ setreuid ของเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1099: Mark Mentovai แห่ง Google Inc.
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจยกระดับเอกสิทธิ์โดยการใช้บริการที่ถูกเจาะระบบแล้ว ซึ่งมุ่งที่จะดำเนินการโดยลดเอกสิทธิ์ลง
คำอธิบาย: การเรียกระบบ setreuid และ setregid ล้มเหลวในการละทิ้งเอกสิทธิ์โดยถาวร ปัญหานี้ได้รับการแก้ไขแล้วโดยการละทิ้งเอกสิทธิ์อย่างถูกต้อง
CVE-ID
CVE-2015-1117: Mark Mentovai แห่ง Google Inc.
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจทำให้เกิดการยุติระบบหรือการอ่านหน่วยความจำของเคอร์เนลโดยไม่คาดหมาย
คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำนอกขอบเขตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1100: Maxime Villard แห่ง m00nbsd
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1101: lokihardt@ASRT ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีเอกสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: มีความไม่สอดคล้องกันของสถานะในการประมวลผลส่วนหัว TCP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1102: Andrey Khudyakov และ Maxim Zhuravlev แห่ง Kaspersky Lab
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีเอกสิทธิ์อาจสามารถเปลี่ยนเส้นทางการจราจรของผู้ใช้ไปยังโฮสต์ใดก็ได้ที่ต้องการ
คำอธิบาย: การเปลี่ยนเส้นทาง ICMP ถูกเปิดใช้งานบน iOS ตามค่าเริ่มต้น ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดการใช้งานการเปลี่ยนเส้นทาง ICMP
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเลี่ยงตัวกรองเครือข่ายได้
คำอธิบาย: ระบบอาจปฏิบัติกับแพ็กเกต IPv6 บางแพ็คเก็ตจากอินเทอร์เฟซเครือข่ายระยะไกลเสมือนเป็นแพ็คเก็ตเฉพาะที่ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปฏิเสธแพ็คเก็ตเหล่านี้
CVE-ID
CVE-2015-1104: Stephen Roettger แห่งทีมรักษาความปลอดภัยของ Google
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: มีปัญหาความไม่สอดคล้องกันของสถานะในการจัดการข้อมูล TCP ที่อยู่นอกแถบ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1105: Kenton Varda แห่ง Sandstorm.io
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: การประมวลผลโปรไฟล์การกำหนดค่าที่ออกแบบมาเพื่อประสงค์ร้าย อาจนำไปสู่การยุติแอปพลิเคชันโดยไม่คาดหมาย
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการโปรไฟล์การกำหนดค่า ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang และ Tao Wei แห่ง FireEye, Inc.
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ข้อมูลที่ไม่จำเป็นอาจถูกส่งไปที่เซิร์ฟเวอร์ภายนอกเมื่อดาวน์โหลดแอสเซทพ็อดคาสท์
คำอธิบาย: เมื่อทำการดาวน์โหลดแอสเซทสำหับพ็อดคาสท์ที่ผู้ใช้ได้สมัคร ระบบจะส่งตัวระบุเฉพาะไปที่เซิร์ฟเวอร์ภายนอก ปัญหานี้ได้รับการแก้ไขแล้วด้วยการนำตัวระบุเหล่านี้ออก
CVE-ID
CVE-2015-1110: Alex Selivanov
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: ตัวระบุฮาร์ดแวร์อาจถูกเข้าถึงโดยแอปของบริษัทอื่น
คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลใน Sandbox ของแอปของบริษัทอื่น ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงโปรไฟล์ Sandbox ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1114
Apple TV
มีให้สำหรับ: Apple TV รุ่นที่ 3 และเวอร์ชั่นที่ใหม่กว่า
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสตามอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-1068: Apple
CVE-2015-1069: lokihardt@ASRT ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
CVE-2015-1070: Apple
CVE-2015-1071: Apple
CVE-2015-1072
CVE-2015-1073: Apple
CVE-2015-1074: Apple
CVE-2015-1076
CVE-2015-1077: Apple
CVE-2015-1078: Apple
CVE-2015-1079: Apple
CVE-2015-1080: Apple
CVE-2015-1081: Apple
CVE-2015-1082: Apple
CVE-2015-1083: Apple
CVE-2015-1119 : Renata Hodovan แห่ง University of Szeged / Samsung Electronics
CVE-2015-1120: Apple
CVE-2015-1121: Apple
CVE-2015-1122 : Apple
CVE-2015-1123: Randy Luecke และ Anoop Menon แห่ง Google Inc.
CVE-2015-1124: Apple
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม