เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 13

เปิดตัวเมื่อวันที่ 24 กันยายน 2019

AppleFirmwareUpdateKext

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2019-8747: Mohamed Ghannam (@_simo36)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เสียง

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8706: Yu Zhou จาก Ant-financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เสียง

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019

CFNetwork

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8753: Łukasz Pilorz จาก Standard Chartered GBS Poland

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

CoreAudio

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8592: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 6 พฤศจิกายน 2019

CoreCrypto

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลอินพุตขนาดใหญ่อาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8741: Nicky Mouha จาก NIST

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

CoreAudio

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

Foundation

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8746: Natalie Silvanovich และ Samuel Groß จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

IOUSBDeviceFamily

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8718: Joshua Hill และ Sem Voigtländer

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2019-8740: Mohamed Ghannam (@_simo36)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพเฉพาะที่อาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8809: Apple

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8712: Mohamed Ghannam (@_simo36)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8744: Zhuo Liang จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8717: Jann Horn จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2019-8780: Siguza

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

คีย์บอร์ด

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) จาก SAINTSEC

libxml2

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8749: พบโดย OSS-Fuzz

CVE-2019-8756: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

libxslt

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: มีปัญหาหลายประการใน libxslt

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8750: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

mDNSResponder

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีที่อยู่ในบริเวณใกล้เคียงทางกายภาพอาจสามารถสังเกตเห็นชื่ออุปกรณ์ในการสื่อสาร AWDL ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการแทนที่ชื่ออุปกรณ์ด้วยตัวระบุแบบสุ่ม

CVE-2019-8799: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

UIFoundation

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

UIFoundation

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8625: Sergei Glazunov จาก Google Project Zero

CVE-2019-8719: Sergei Glazunov จาก Google Project Zero

CVE-2019-8764: Sergei Glazunov จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019, อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8707: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8710: พบโดย OSS-Fuzz

CVE-2019-8726: Jihui Lu จาก Tencent KeenLab

CVE-2019-8728: Junho Jang จาก LINE Security Team และ Hanul Choi จาก ABLY Corporation

CVE-2019-8733: Sergei Glazunov จาก Google Project Zero

CVE-2019-8734: พบโดย OSS-Fuzz

CVE-2019-8735: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8743: zhunki จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech

CVE-2019-8752: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech

CVE-2019-8763: Sergei Glazunov จาก Google Project Zero

CVE-2019-8765: Samuel Groß จาก Google Project Zero

CVE-2019-8766: พบโดย OSS-Fuzz

CVE-2019-8773: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019, อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8762: Sergei Glazunov จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-9932: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab จาก Venustech

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020

Wi-Fi

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ Wi-Fi MAC ของเครื่อง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการลบข้อมูลที่อยู่ MAC ที่ออกอากาศ

CVE-2019-8854: Ta-Lun Yen จาก UCCU Hacker และ FuriousMacTeam จาก United States Naval Academy และ Mitre Cooperation

เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019

คำขอบคุณพิเศษ

เสียง

เราขอขอบคุณสำหรับความช่วยเหลือจาก riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

boringssl

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nimrod Aviram จาก Tel Aviv University, Robert Merget จาก Ruhr University Bochum, Juraj Somorovsky จาก Ruhr University Bochum, Thijs Alkemade (@xnyhps) จาก Computest

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019, อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019

HomeKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Tian Zhang

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero และ Vlad Tsyrklevich

อัพเดทรายการเมื่อวันที่ 28 กรกฎาคม 2020

คีย์บอร์ด

เราขอขอบคุณสำหรับความช่วยเหลือจาก Sara Haradhvala จาก Harlen Web Consulting และนักวิจัยนิรนาม

อัพเดทรายการเมื่อวันที่ 28 กรกฎาคม 2020

mDNSResponder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gregor Lang จาก e.solutions GmbH

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

โปรไฟล์

เราขอขอบคุณสำหรับความช่วยเหลือจาก Erik Johnson จาก Vernon Hills High School, James Seeley (@Code4iOS) จาก Shriver Job Corps, James Seeley (@Code4iOS) จาก Shriver Job Corps

อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก MinJeong Kim จาก Information Security Lab, Chungnam National University, JaeCheol Ryou จาก Information Security Lab, Chungnam National University ในเกาหลีใต้, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao จาก DBAPPSecurity Zion Lab, นักวิจัยนิรนาม, cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019, อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: