เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 11.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 11.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID

tvOS 11.4

Bluetooth

มีให้สำหรับ: Apple TV 4K

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลทางบลูทูธได้

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในบลูทูธ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-5383: Lior Neumann และ Eli Biham

Crash Reporter

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น

CVE-2018-4206: Ian Beer จาก Google Project Zero

FontParser

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4211: Proteas จาก Qihoo 360 Nirvan Team

Kernel

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4249: Kevin Backhouse จาก Semmle Ltd.

Kernel

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2018-4241: Ian Beer จาก Google Project Zero

CVE-2018-4243: Ian Beer จาก Google Project Zero

libxpc

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4237: Samuel Groß (@5aelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

libxpc

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4404: Samuel Groß (@5aelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

LinkPresentation

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลข้อความตัวอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI

คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) จาก Tencent Security Platform Department

Messages

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถโจมตีโดยการปลอมตัวได้

คำอธิบาย: ปัญหาการป้อนข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4235: Anurodh Pokharel จาก Salesforce.com

Messages

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบข้อความให้ดียิ่งขึ้น

CVE-2018-4240: Sriram (@Sri_Hxor) จาก PrimeFort Pvt. Ltd

Security

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านตัวระบุอุปกรณ์ที่ยังคงอยู่ได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Security

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

UIKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการข้อความ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบข้อความให้ดียิ่งขึ้น

CVE-2018-4198: Hunter Byrnes

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้คุกกี้ถูกเขียนทับ

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการคุกกี้ของเว็บเบราเซอร์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2018-4232: นักวิจัยนิรนาม, Aymeric Chaib

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2018-4192: Markus Gaasedelen, Amy Burnett และ Patrick Biernat จาก Ret2 Systems, Inc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4214: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4204: พบโดย OSS-Fuzz, Richard Zhu (fluorescence) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4246: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4200: Ivan Fratric จาก Google Project Zero

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้งานโค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4201: นักวิจัยนิรนาม

CVE-2018-4218: natashenka จาก Google Project Zero

CVE-2018-4233: Samuel Groß (@5aelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4188: YoKo Kho (@YoKoAcc) จาก Mitra Integrasi Informatika, PT

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4199: Alex Plaskett, Georgi Geshev และ Fabi Beterke จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหลได้

คำอธิบาย: ข้อมูลประจำตัวถูกส่งโดยไม่คาดคิดเมื่อดึงข้อมูลภาพมาสก์ CSS ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้วิธีการดึงข้อมูลที่ใช้ CORS

CVE-2018-4190: Jun Kokatsu (@shhnjk)

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4222: natashenka จาก Google Project Zero