เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 13.2

เปิดตัวเมื่อวันที่ 28 ตุลาคม 2019

บัญชี

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8787: Steffen Klee จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

App Store

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าสู่บัญชีของผู้ใช้ที่เข้าสู่ระบบไว้ก่อนหน้านี้โดยไม่มีข้อมูลประจำตัวที่ถูกต้องได้

คำอธิบาย: ปัญหาการตรวจสอบสิทธิ์ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

เสียง

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8785: Ian Beer จาก Google Project Zero

CVE-2019-8797: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

AVEVideoEncoder

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8795: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

กิจกรรมระบบไฟล์

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8798: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8794: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8786: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8813: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8782: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8783: Cheolung Lee จาก LINE+ Graylab Security Team

CVE-2019-8808: พบโดย OSS-Fuzz

CVE-2019-8811: Soyeon Park จาก SSLab ที่ Georgia Tech

CVE-2019-8812: นักวิจัยนิรนาม

CVE-2019-8814: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8816: Soyeon Park จาก SSLab ที่ Georgia Tech

CVE-2019-8819: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8820: Samuel Groß จาก Google Project Zero

CVE-2019-8821: Sergei Glazunov จาก Google Project Zero

CVE-2019-8822: Sergei Glazunov จาก Google Project Zero

CVE-2019-8823: Sergei Glazunov จาก Google Project Zero

แบบจำลองกระบวนการ WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8815: Apple

คำขอบคุณพิเศษ

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jann Horn จาก Google Project Zero

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dlive จาก Tencent's Xuanwu Lab และ Zhiyi Zhang จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: