เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 9.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 9.2

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

คุณสามารถดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู การอัพเดทความปลอดภัยของ Apple

tvOS 9.2

  • FontParser

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1740 : HappilyCoded (ant4g0nist และ r3dsm0k3) ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • HTTPProtocol

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้รหัสได้โดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่หลายแห่งใน nghttp2 เวอร์ชั่นก่อน 1.6.0 ซึ่งในกรณีร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสระยะไกล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท nghttp2 ให้เป็นเวอร์ชั่น 1.6.0

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • เคอร์เนล

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหา use after free ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1750: CESG

  • เคอร์เนล

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาการล้นของจำนวนเต็มจำนวนมากได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1753: Juwei Lin Trend Micro ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • เคอร์เนล

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถหลีกเลี่ยงการลงชื่อรหัสได้

    คำอธิบาย: มีปัญหาเกี่ยวกับการอนุญาตที่มีการให้สิทธิ์อนุญาตอย่างไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1751: Eric Monti จาก Square Mobile Security

  • เคอร์เนล

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1754 : Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2016-1755 : Ian Beer จาก Google Project Zero

  • เคอร์เนล

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: แอพพลิเคชั่นอาจเป็นเหตุให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1752 : CESG

  • libxml2

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale จาก Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany จาก Google

    CVE-2015-7942: Kostya Serebryany จาก Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1762

  • ความปลอดภัย

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในตัวถอดรหัส ASN.1 ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2016-1950: Francis Gabriel จาก Quarkslab

  • TrueTypeScaler

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2016-1775: 0x1byte ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • WebKit

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1783: Mihai Parparita จาก Google

  • ประวัติ WebKit

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

    คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1784: Moony Li และ Jack Tang จาก TrendMicro และ 李普君 จาก 无声信息技术PKAV Team (PKAV.net)

  • Wi-Fi

    มีให้สำหรับ: Apple TV (รุ่นที่ 4)

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตรวจสอบเฟรมและหน่วยความจำเสียหายสำหรับ ethertype ที่กำหนด ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบ ethertype เพิ่มเติมและปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-0801: นักวิจัยที่ไม่ระบุชื่อ

    CVE-2016-0802: นักวิจัยที่ไม่ระบุชื่อ

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: