เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 11.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 11.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

tvOS 11.2

เปิดตัวเมื่อวันที่ 4 ธันวาคม 2017

App Store

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมการขอรหัสผ่านใน App Store ได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-7164: Jerry Decime

เพิ่มรายการเมื่อวันที่ 11 มกราคม 2018

ปลดล็อคโดยอัตโนมัติ

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2017-13905: Samuel Groß (@5aelo)

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

CFNetwork Session

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7172: Richard Zhu (fluorescence) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2018

CoreAnimation

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับที่สูงขึ้นได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7171: 360 Security ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ Tencent Keen Security Lab (@keen_lab) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2018

CoreFoundation

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2017-7151: Samuel Groß (@5aelo)

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

IOKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2017 อัพเดทรายการเมื่อวันที่ 10 มกราคม 2018

IOSurface

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13861: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13904: Kevin Backhouse จาก Semmle Ltd.

เพิ่มรายการเมื่อวันที่ 14 กุมภาพันธ์ 2018

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้ (Meltdown)

คำอธิบาย: ระบบที่มีไมโครโปรเซสเซอร์ที่ใช้ Speculative Execution (การดำเนินการเชิงคาดเดา) และ Indirect Branch Prediction อาจทำให้เกิดการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตต่อผู้โจมตีที่มีสิทธิ์เข้าใช้ของผู้ใช้เฉพาะเครื่องผ่านการวิเคราะห์แคชข้อมูลโดยอาศัยผลข้างเคียง

CVE-2017-5754: Jann Horn จาก Google Project Zero, Moritz Lipp จาก Graz University of Technology, Michael Schwarz จาก Graz University of Technology, Daniel Gruss จาก Graz University of Technology, Thomas Prescher จาก Cyberus Technology GmbH, Werner Haas จาก Cyberus Technology GmbH, Stefan Mangard จาก Graz University of Technology, Paul Kocher, Daniel Genkin จาก University of Pennsylvania และ University of Maryland, Yuval Yarom จาก University of Adelaide และ Data61 และ Mike Hamburg จาก Rambus (แผนก Cryptography Research)

เพิ่มรายการเมื่อวันที่ 4 มกราคม 2018 อัพเดทรายการเมื่อวันที่ 10 มกราคม 2018

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer จาก Google Project Zero

CVE-2017-13876: Ian Beer จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2017

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-7173: Brandon Azad

อัพเดทรายการเมื่อวันที่ 1 สิงหาคม 2018

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13855: Jann Horn จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13865: Ian Beer จาก Google Project Zero

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-7154: Jann Horn จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2017

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13885: 360 Security ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2018

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7165: 360 Security ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2018

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13884: 360 Security ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2018

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: การตอบสนองต่อการเปลี่ยนเส้นทางไปยังข้อผิดพลาด 401 Unauthorized อาจอนุญาตให้เว็บไซต์ที่ประสงค์ร้ายแสดงไอคอนแม่กุญแจที่ไม่ถูกต้องบนคอนเทนต์ประเภทต่างๆ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะการแสดงผล URL ให้ดียิ่งขึ้น

CVE-2017-7153: Jerry Decime

เพิ่มรายการเมื่อวันที่ 11 มกราคม 2018

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7156: Yuan Deng จาก Ant-financial Light-Year Security Lab

CVE-2017-7157: นักวิจัยนิรนาม

CVE-2017-13856: Jeonghoon Shin

CVE-2017-13870: Tencent Keen Security Lab (@keen_lab) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7160: Richard Zhu (fluorescence) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-13866: Tencent Keen Security Lab (@keen_lab) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 10 มกราคม 2018

Wi-Fi

มีให้สำหรับ: Apple TV (รุ่นที่ 4)
เปิดตัวแล้วสำหรับ Apple TV 4K ที่ใช้ tvOS 11.1

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์มัลติคาสต์ WPA/GTK ได้ (Key Reinstallation Attacks - KRACK)

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: