เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 10

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของของ tvOS 10

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

tvOS 10

เปิดตัวเมื่อวันที่ 13 กันยายน 2016

เสียง

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park และ Taekyoung Kwon จาก Information Security Lab, Yonsei University

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

CFNetwork

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการแยกวิเคราะห์ส่วนหัว Set-Cookie ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น

CVE-2016-4708: Dawid Czagan จาก Silesia Security Lab

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

CoreCrypto

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการลบโค้ดที่เป็นอันตรายออก

CVE-2016-4712: Gergo Koteles

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

FontParser

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-4718: Apple

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

IOAcceleratorFamily

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4725: Rodger Combs จาก Plex, Inc.

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

IOAcceleratorFamily

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

CVE-2016-4726: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการจัดการล็อคได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการล็อคให้ดียิ่งขึ้น

CVE-2016-4772: Marc Heuse จาก mh-sec

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาหลายประการในการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

CVE-2016-4775: Brandon Azad

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

คำอธิบาย: ช่องโหว่แบบ Pointer Dereference ที่ไม่น่าเชื่อถือได้รับการแก้ไขแล้วโดยการลบโค้ดที่ได้รับผลกระทบออก

CVE-2016-4777: Lufeng Li จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

เคอร์เนล

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4778: CESG

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

libxml2

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: มีปัญหาหลายประการใน libxml2 ปัญหาที่สำคัญที่สุดอาจก่อให้เกิดการหยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้โค้ดโดยอำเภอใจ

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

libxslt

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

CVE-2016-4738: Nick Wellnhofer

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

ความปลอดภัย

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: มีปัญหาในการตรวจสอบภาพดิสก์ที่ลงชื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2016-4753: Mark Mentovai จาก Google Inc.

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

คำอธิบาย: มีปัญหาการแยกวิเคราะห์ในการจัดการต้นแบบข้อผิดพลาด ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4728: Daniel Divricean

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

CVE-2016-4611: Apple

CVE-2016-4730: Apple

CVE-2016-4734: natashenka จาก Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo จาก Palo Alto Networks

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-4733: natashenka จาก Google Project Zero

CVE-2016-4765: Apple

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Apple TV (รุ่นที่ 4)

CVE-2016-4764: Apple

เพิ่มรายการเมื่อวันที่ 3 พฤศจิกายน 2016

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 16 มีนาคม 2564