เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 13.2

เปิดตัวเมื่อวันที่ 28 ตุลาคม 2019

บัญชี

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8787: Steffen Klee จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

App Store

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าสู่ระบบบัญชีของผู้ใช้ที่เคยเข้าสู่ระบบไว้ก่อนหน้าโดยไม่มีข้อมูลประจำตัวที่ถูกต้องได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

เสียง

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8785: Ian Beer จาก Google Project Zero

CVE-2019-8797: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

AVEVideoEncoder

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8795: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

กิจกรรมระบบไฟล์

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8798: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8794: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8786: Wen Xu จาก Georgia Tech, Microsoft Offensive Security Research Intern

อัพเดทรายการเมื่อวันที่ 18 พฤศจิกายน 2019

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2019-8829: Jann Horn จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 8 พฤศจิกายน 2019

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8813: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8782: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8783: Cheolung Lee จาก LINE+ Graylab Security Team

CVE-2019-8808: พบโดย OSS-Fuzz

CVE-2019-8811: Soyeon Park จาก SSLab ที่ Georgia Tech

CVE-2019-8812: JunDong Xie จาก Ant-financial Light-Year Security Lab

CVE-2019-8814: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8816: Soyeon Park จาก SSLab ที่ Georgia Tech

CVE-2019-8819: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8820: Samuel Groß จาก Google Project Zero

CVE-2019-8821: Sergei Glazunov จาก Google Project Zero

CVE-2019-8822: Sergei Glazunov จาก Google Project Zero

CVE-2019-8823: Sergei Glazunov จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 18 พฤศจิกายน 2019

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยไซต์ที่ผู้ใช้เคยเข้าดู

คำอธิบาย: อาจมีการใช้ส่วนหัวของข้อมูล HTTP เพื่อทำให้ประวัติการเรียกดูรั่วไหล ปัญหานี้ได้รับการแก้ไขแล้วโดยการดาวน์เกรดส่วนหัวที่เป็นของบริษัทอื่นให้เหลือเพียงต้นทาง

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum และ Roberto Clapis จาก Google Security Team

เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020

แบบจำลองกระบวนการ WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8815: Apple

คำขอบคุณพิเศษ

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Daniel Roethlisberger จาก Swisscom CSIRT, Jann Horn จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 8 พฤศจิกายน 2019

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dlive จาก Xuanwu Lab ของ Tencent และ Zhiyi Zhang จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: