เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
tvOS 13
เปิดตัวเมื่อวันที่ 24 กันยายน 2019
CoreAudio
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8717: Jann Horn จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
เคอร์เนล
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2019-8780: Siguza
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
คีย์บอร์ด
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8704: 王 邦 宇 (wAnyBug.Com) จาก SAINTSEC
libxml2
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: มีปัญหาหลายประการใน libxml2
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8749: พบโดย OSS-Fuzz
CVE-2019-8756: พบโดย OSS-Fuzz
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
UIFoundation
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8625: Sergei Glazunov จาก Google Project Zero
CVE-2019-8719: Sergei Glazunov จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
WebKit
มีให้สำหรับ: Apple TV 4K และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8707: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, cc ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative
CVE-2019-8720: Wen Xu จาก SSLab ที่ Georgia Tech
CVE-2019-8726: Jihui Lu จาก Tencent KeenLab
CVE-2019-8733: Sergei Glazunov จาก Google Project Zero
CVE-2019-8735: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8763: Sergei Glazunov จาก Google Project Zero
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
คำขอบคุณพิเศษ
boringssl
เราขอขอบคุณสำหรับความช่วยเหลือจาก Thijs Alkemade (@xnyhps) จาก Computest
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019
คีย์บอร์ด
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
โปรไฟล์
เราขอขอบคุณสำหรับความช่วยเหลือจาก James Seeley (@Code4iOS) จาก Shriver Job Corps
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao จาก DBAPPSecurity Zion Lab, นักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019