เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 12.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 12.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 12.3

เปิดตัวเมื่อวันที่ 13 พฤษภาคม 2019

AppleFileConduit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8593: Dany Lisiansky (@DanyL931)

บลูทูธ

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: เนื่องจากมีการกำหนดค่าผิดพลาดในระหว่างการจับคู่บลูทูธของ FIDO Security Key เวอร์ชั่น Bluetooth Low Energy (BLE) ดังนั้น ผู้โจมตีที่อยู่ใกล้เคียงอาจสามารถสกัดกั้นการรับส่งข้อมูลบลูทูธในระหว่างการจับคู่ได้

คำอธิบาย: ปัญหานี้แก้ไขได้ด้วยการปิดการใช้งานอุปกรณ์เสริมที่มีการเชื่อมต่อบลูทูธที่ไม่ปลอดภัย ลูกค้าที่ใช้ Titan Security Key ของ Google เวอร์ชั่น Bluetooth Low Energy (BLE) ควรตรวจสอบกระดานข่าวเดือนมิถุนายนของ Android และคำแนะนำของ Google และดำเนินการตามความเหมาะสม

CVE-2019-2102: Matt Beaver และ Erik Peterson จาก Microsoft Corp.

เพิ่มรายการเมื่อวันที่ 17 กันยายน 2019

CoreAudio

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น

CVE-2019-8592: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

CoreAudio

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8585: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreText

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8582: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 25 กรกฎาคม 2019

ภาพดิสก์

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8560: Nikita Pupyshev จาก Bauman Moscow State Technological University

อัพเดทรายการเมื่อวันที่ 30 พฤษภาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8633: Zhuo Liang จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 17 กันยายน 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8576: Brandon Azad จาก Google Project Zero, Junho Jang และ Hanul Choi จาก LINE Security Team

อัพเดทรายการเมื่อวันที่ 30 พฤษภาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการยุติระบบหรือการเขียนหน่วยความจำเคอร์เนลโดยไม่คาดหมาย

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8591: Ned Williamson ที่ทำงานร่วมกับ Google Project Zero

ข้อความ

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้ใช้ที่ถูกลบออกจากการสนทนา iMessage อาจยังสามารถเปลี่ยนสถานะได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8631: Jamie Bishop จาก Dynastic

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

MobileInstallation

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8637: Dany Lisiansky (@DanyL931)

SQLite

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8577: Omer Gull จาก Checkpoint Research

SQLite

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8600: Omer Gull จาก Checkpoint Research

SQLite

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8598: Omer Gull จาก Checkpoint Research

SQLite

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง

CVE-2019-8602: Omer Gull จาก Checkpoint Research

sysdiagnose

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2019-8574: Dayton Pidhirney (@_watbulb) จาก Seekintoo (@seekintoo)

อัพเดทรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8607: Junho Jang และ Hanul Choi จาก LINE Security Team

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6237: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Liu Long จาก Qihoo 360 Vulcan Team

CVE-2019-8571: 01 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8583: sakura จาก Tencent Xuanwu Lab, jessica (@babyjess1ca_) จาก Tencent Keen Lab และ dwfault ที่ทำงานที่ ADLab ของ Venustech

CVE-2019-8584: G. Geshev จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8586: นักวิจัยนิรนาม

CVE-2019-8587: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8594: Suyoung Lee และ Sooel Son จาก KAIST Web Security & Privacy Lab และ HyungSeok Han และ Sang Kil Cha จาก KAIST SoftSec Lab

CVE-2019-8595: G. Geshev จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8596: Wen Xu จาก SSLab ที่ Georgia Tech

CVE-2019-8597: 01 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8601: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8608: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8609: Wen Xu จาก SSLab, Georgia Tech

CVE-2019-8610: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8611: Samuel Groß จาก Google Project Zero

CVE-2019-8615: G. Geshev จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8619: Wen Xu จาก SSLab ที่ Georgia Tech และ Hanqing Zhao จาก Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß จาก Google Project Zero

CVE-2019-8623: Samuel Groß จาก Google Project Zero

CVE-2019-8628: Wen Xu จาก SSLab ที่ Georgia Tech และ Hanqing Zhao จาก Chaitin Security Research Lab

Wi-Fi

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์จะสามารถแก้ไขสถานะไดรเวอร์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8612: Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

เพิ่มรายการเมื่อวันที่ 30 พฤษภาคม 2019

Wi-Fi

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ Wi-Fi MAC ของเครื่อง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการลบข้อมูลที่อยู่ MAC ที่ออกอากาศ

CVE-2019-8620: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

คำขอบคุณพิเศษ

CoreAudio

เราขอขอบคุณสำหรับความช่วยเหลือจาก riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 25 กรกฎาคม 2019

CoreFoundation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Vozzie และ Rami และ m4bln, Xiangqian Zhang, Huiming Liu จาก Xuanwu Lab ของ Tencent

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero และนักวิจัยนิรนาม

MediaLibrary

เราขอขอบคุณสำหรับความช่วยเหลือจาก Angel Ramirez และ Min (Spark) Zheng, Xiaolong Bai จาก Alibaba Inc.

MobileInstallation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: