เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 10

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของของ tvOS 10

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้า รายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้า ความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้ คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

tvOS 10

เปิดตัวเมื่อวันที่ 13 กันยายน 2016

เสียง

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park และ Taekyoung Kwon จาก Information Security Lab มหาวิทยาลัยยอนเซ

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

CFNetwork

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ในระบบไฟล์ไม่ปลอดภัย

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการแยกวิเคราะห์ส่วนหัว Set-Cookie ปัญหานี้ได้รับการแก้ไขแล้วโดยปรับปรุงการตรวจสอบความถูกต้อง

CVE-2016-4708: Dawid Czagan จาก Silesia Security Lab

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

CoreCrypto

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยลบรหัสที่เป็นอันตรายออก

CVE-2016-4712: Gergo Koteles

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

FontParser

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำกระบวนการ

คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-4718: Apple

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

IOAcceleratorFamily

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของกระบวนการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4725: Rodger Combs จาก Plex, Inc.

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

IOAcceleratorFamily

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

CVE-2016-4726: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการจัดการการล็อคได้รับการแก้ไขแล้วโดยปรับปรุงการจัดการการล็อคให้ดียิ่งขึ้น

CVE-2016-4772: Marc Heuse จาก mh-sec

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการเขียนนอกขอบเขตหลายปัญหาที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

CVE-2016-4775: Brandon Azad

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

คำอธิบาย: ช่องโหว่แบบ Untrusted Pointer Dereference ได้รับการแก้ไขแล้วโดยลบรหัสที่ได้รับผลกระทบ

CVE-2016-4777: Lufeng Li จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4778: CESG

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

libxml2

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: ปัญหาหลายอย่างใน libxml2 ซึ่งเป็นปัญหาสำคัญที่สุดอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสตามอำเภอใจ

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

libxslt

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-2016-4738: Nick Wellnhofer

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

ความปลอดภัย

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: มีปัญหาการตรวจสอบดิสก์อิมเมจที่ลงชื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2016-4753: Mark Mentovai of Google Inc.

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

คำอธิบาย: มีปัญหาการแยกวิเคราะห์การจัดการต้นแบบข้อผิดพลาด ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4728: Daniel Divricean

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: Natalie Silvanovich จาก Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo จาก Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

คำอธิบาย: ปัญหาความเสียหายของหน่วยความจำจำนวนมากได้รับการแก้ไขแล้วโดยปรับปรุงการจัดการสถานะ

CVE-2016-4733: Natalie Silvanovich จาก Google Project Zero

CVE-2016-4765: Apple

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

CVE-2016-4764: Apple

เพิ่มรายการเมื่อวันที่ 3 พฤศจิการยน 2016

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 8 พฤศจิกายน 2559