เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 12.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 12.1

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

tvOS 12.1

เปิดตัวเมื่อวันที่ 30 ตุลาคม 2018

CoreCrypto

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้โจมตีอาจใช้จุดอ่อนในการทดสอบเบื้องต้นแบบ Miller-Rabin เพื่อระบุจำนวนไพร์มที่ไม่ถูกต้องได้

คำอธิบาย: มีปัญหาในวิธีการระบุจำนวนไพร์ม ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้ฐานสมมุติฐานสำหรับการทดสอบไพร์ม

CVE-2018-4398: Martin Albrecht, Jake Massimo และ Kenny Paterson จาก Royal Holloway, University of London และ Juraj Somorovsky จาก Ruhr University, Bochum

ICU

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลสตริงที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4394: Erik Verbruggen จาก The Qt Company

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

IPSec

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4371: Tim Michaud (@TimGMichaud) จาก Leviathan Security Group

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง

CVE-2018-4420: Mohamed Ghannam (@_simo36)

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4413: Juwei Lin (@panicaII) จาก TrendMicro Mobile Security Team

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4419: Mohamed Ghannam (@_simo36)

เมล

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4381: Angel Ramirez

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2019

NetworkExtension

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การเชื่อมต่อกับเซิร์ฟเวอร์ VPN อาจทำให้การสอบถาม DNS รั่วไหลไปยังพร็อกซี DNS ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4369: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4372: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab ประเทศเกาหลี

CVE-2018-4382: lokihardt จาก Google Project Zero

CVE-2018-4386: lokihardt จาก Google Project Zero

CVE-2018-4392: zhunki จาก 360 ESG Codesafe Team

CVE-2018-4416: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4409: Sabri Haddouche (@pwnsdx) จาก Wire Swiss GmbH

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4378: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab เกาหลี, zhunki จาก 360 ESG Codesafe Team

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

WiFi

มีให้สำหรับ: Apple TV 4K และ Apple TV (รุ่นที่ 4)

ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4368: Milan Stute และ Alex Mariotto จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

คำขอบคุณพิเศษ

การลงชื่อในใบรับรอง

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

coreTLS

เราขอขอบคุณสำหรับความช่วยเหลือจาก Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) และ Yuval Yarom (University of Adelaide และ Data61)

เพิ่มรายการเมื่อวันที่ 12 ธันวาคม 2018

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Marinos Bernitsas จาก Parachute

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: