เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 10.0.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 10.0.1
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
tvOS 10.0.1
AppleMobileFileIntegrity
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: โปรแกรมปฏิบัติงานที่ลงชื่อแล้วอาจใช้แทนรหัสที่มี Team ID เดียวกัน
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการลายเซ็นรหัส ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบเพิ่มเติม
CVE-2016-7584: Mark Mentovai และ Boris Vidolov จาก Google Inc.
CFNetwork Proxies
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลของผู้ใช้ที่มีความสำคัญรั่วไหลได้
คำอธิบาย: ปัญหาการหลอกลวงมีอยู่แล้วในการจัดการข้อมูลประจำตัวพร็อกซี่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการเอาข้อความแจ้งการตรวจสอบสิทธิ์รหัสผ่านพร็อกซี่ที่ไม่ได้เรียกร้องออก
CVE-2016-7579: Jerry Decime
CoreGraphics
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การดูไฟล์ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4673: Marco Grassi (@marcograss) จาก KeenLab (@keen_lab), Tencent
FontParser
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การวิเคราะห์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลที่ละเอียดอ่อนของผู้ใช้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-4660: Ke Liu จาก Xuanwu Lab ของ Tencent
FontParser
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ
คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-4688: Simon Huang จาก Alipay company thelongestusernameofall@gmail.com
เคอร์เนล
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการตรวจสอบยืนยันได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4680: Max Bazaliy จาก Lookout และ in7egral
เคอร์เนล
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถใช้รหัสที่มีสิทธิ์ในระดับรากได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาอายุการใช้งานหลายวัตถุเกิดขึ้นในการวางกระบวนการใหม่ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดีขึ้น
CVE-2016-7613: Ian Beer จาก Google Project Zero
libarchive
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ข้อมูลเก็บถาวรที่เป็นอันตรายอาจสามารถเขียนทับไฟล์ Arbitrary ได้
คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น
CVE-2016-4679: Omer Medan จาก enSilo Ltd
libxpc
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับรากได้โดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วผ่านการจำกัดเพิ่มเติม
CVE-2016-4675: Ian Beer จาก Google Project Zero
โปรไฟล์ Sandbox
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถดึงเมตาดาต้าของไดเร็กทอรี่รูปภาพ
คำอธิบาย: ปัญหาในการเข้าถึงได้รับการแก้ไขแล้วโดยการจำกัด Sandbox เพิ่มเติมในแอพพลิเคชั่นของผู้ให้บริการรายอื่น
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
โปรไฟล์ Sandbox
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจสามารถดึงเมตาดาต้าของไดเร็กทอรี่การบันทึกเสียง
คำอธิบาย: ปัญหาในการเข้าถึงได้รับการแก้ไขแล้วโดยการจำกัด Sandbox เพิ่มเติมในแอพพลิเคชั่นของผู้ให้บริการรายอื่น
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
บู๊ตเครื่อง
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับการตรวจสอบอินพุตเกิดขึ้นในรหัสที่สร้างโดย MIG ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4669: Ian Beer จาก Google Project Zero
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้ได้
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-4613: Chris Palmer
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4666: Apple
CVE-2016-4677: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7578: Apple
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม