เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 11.4
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 11.4
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID
tvOS 11.4
Bluetooth
มีให้สำหรับ: Apple TV 4K
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลทางบลูทูธได้
คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในบลูทูธ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-5383: Lior Neumann และ Eli Biham
Crash Reporter
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น
CVE-2018-4206: Ian Beer จาก Google Project Zero
FontParser
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4211: Proteas จาก Qihoo 360 Nirvan Team
Kernel
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4249: Kevin Backhouse จาก Semmle Ltd.
Kernel
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2018-4241: Ian Beer จาก Google Project Zero
CVE-2018-4243: Ian Beer จาก Google Project Zero
libxpc
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถเข้าถึงสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4237: Samuel Groß (@5aelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
libxpc
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4404: Samuel Groß (@5aelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
LinkPresentation
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลข้อความตัวอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI
คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) จาก Tencent Security Platform Department
Messages
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถโจมตีโดยการปลอมตัวได้
คำอธิบาย: ปัญหาการป้อนข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4235: Anurodh Pokharel จาก Salesforce.com
Messages
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาโดยมีวัตถุประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบข้อความให้ดียิ่งขึ้น
CVE-2018-4240: Sriram (@Sri_Hxor) จาก PrimeFort Pvt. Ltd
Security
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านตัวระบุอุปกรณ์ที่ยังคงอยู่ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Security
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
UIKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการข้อความ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบข้อความให้ดียิ่งขึ้น
CVE-2018-4198: Hunter Byrnes
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้คุกกี้ถูกเขียนทับ
คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการคุกกี้ของเว็บเบราเซอร์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2018-4232: นักวิจัยนิรนาม, Aymeric Chaib
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2018-4192: Markus Gaasedelen, Amy Burnett และ Patrick Biernat จาก Ret2 Systems, Inc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4214: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4204: พบโดย OSS-Fuzz, Richard Zhu (fluorescence) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4246: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4200: Ivan Fratric จาก Google Project Zero
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้งานโค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4201: นักวิจัยนิรนาม
CVE-2018-4218: natashenka จาก Google Project Zero
CVE-2018-4233: Samuel Groß (@5aelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4188: YoKo Kho (@YoKoAcc) จาก Mitra Integrasi Informatika, PT
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4199: Alex Plaskett, Georgi Geshev และ Fabi Beterke จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหลได้
คำอธิบาย: ข้อมูลประจำตัวถูกส่งโดยไม่คาดคิดเมื่อดึงข้อมูลภาพมาสก์ CSS ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้วิธีการดึงข้อมูลที่ใช้ CORS
CVE-2018-4190: Jun Kokatsu (@shhnjk)
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4222: natashenka จาก Google Project Zero
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม