เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13.4.8

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 13.4.8

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 13.4.8

เปิดตัวเมื่อวันที่ 15 กรกฎาคม 2020

เสียง

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9884: Yu Zhou(@yuzhou6666) จาก 小鸡帮 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2020-9889: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, JunDong Xie และ XingWei Lin จาก Ant-financial Light-Year Security Lab

อัพเดทรายการเมื่อวันที่ 10 สิงหาคม 2020

เสียง

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9888: JunDong Xie และ XingWei Lin จาก Ant-financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie และ XingWei Lin จาก Ant-financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie และ XingWei Lin จาก Ant-financial Light-Year Security Lab

อัพเดทรายการเมื่อวันที่ 10 สิงหาคม 2020

AVEVideoEncoder

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง

CVE-2020-9907: 08Tc3wBB ที่ทำงานร่วมกับ ZecOps

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020 และอัพเดทรายการเมื่อวันที่ 31 สิงหาคม 2020

CoreGraphics

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9883: นักวิจัยนิรนาม, Mickey Jin จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020 อัพเดทรายการเมื่อวันที่ 15 ธันวาคม 2020

ตัวรายงานการล่ม

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง

CVE-2020-9865: Zhuo Liang จาก Qihoo 360 Vulcan Team ที่ทำงานร่วมกับ 360 BugCloud

ตัวรายงานการล่ม

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น

CVE-2020-9900: Zhongcheng Li (CK01) จาก Zero-dayits Team จาก Legendsec ที่ Qi'anxin Group

เพิ่มรายการเมื่อวันที่ 10 สิงหาคม 2020

FontParser

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9980: Xingwei Lin จาก Ant Security Light-Year Lab

เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020 อัพเดทเมื่อวันที่ 19 ตุลาคม 2020

GeoServices

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านข้อมูลที่อ่อนไหวเกี่ยวกับตำแหน่งที่ตั้งได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9933: Min (Spark) Zheng และ Xiaolong Bai จาก Alibaba Inc.

iAP

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีที่มีสิทธิ์ในระดับเครือข่ายอาจสามารถโจมตีด้วยการปฏิเสธการให้บริการ โดยใช้แพ็คเก็ตบลูทูธที่มีรูปแบบผิดปกติ

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในบลูทูธ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9914: Andy Davis จาก NCC Group

อัพเดทรายการเมื่อวันที่ 28 กรกฎาคม 2020

ImageIO

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27933: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

ImageIO

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนใน openEXR

คำอธิบาย: ปัญหาหลายประการใน openEXR ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-11758: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 8 กันยายน 2020

ImageIO

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9871: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin จาก Trend Micro

CVE-2020-9937: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

อัพเดทรายการเมื่อวันที่ 10 สิงหาคม 2020

ImageIO

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9919: Mickey Jin จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020

ImageIO

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9876: Mickey Jin จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020

ImageIO

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9873: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9984: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020 อัพเดทรายการเมื่อวันที่ 21 กันยายน 2020

ImageIO

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9877: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 10 สิงหาคม 2020

ImageIO

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9875: Mickey Jin จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 10 สิงหาคม 2020

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถล่วงล้ำเข้าไปในเครือข่ายที่ใช้งานอยู่ภายในอุโมงค์ VPN

คำอธิบาย: ปัญหาการกำหนดเส้นทางได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-14899: William J. Tolley, Beau Kujath และ Jedidiah R. Crandall

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีที่มีการใช้รหัสเคอร์เนลแล้วอาจสามารถบายพาสการบรรเทาปัญหาหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9909: Brandon Azad จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9904: Tielei Wang จาก Pangu Lab

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9863: Xinru Chi จาก Pangu Lab

อัพเดทรายการเมื่อวันที่ 10 สิงหาคม 2020

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9892: Andy Nguyen จาก Google

เพิ่มรายการเมื่อวันที่ 10 สิงหาคม 2020

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9902: Xinru Chi และ Tielei Wang จาก Pangu Lab

เพิ่มรายการเมื่อวันที่ 10 สิงหาคม 2020

เคอร์เนล

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9905: Raz Mashat (@RazMashat) จาก ZecOps

เพิ่มรายการเมื่อวันที่ 31 สิงหาคม 2020

libxml2

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9926: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

รุ่น I/O

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9880: Holger Fuhrmannek จาก Deutsche Telekom Security

เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020

รุ่น I/O

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์ USD ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9878: Aleksandar Nikolic จาก Cisco Talos, Holger Fuhrmannek จาก Deutsche Telekom Security

CVE-2020-9940: Holger Fuhrmannek จาก Deutsche Telekom Security

เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020

ความปลอดภัย

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีอาจสามารถเลียนแบบเว็บไซต์ที่เชื่อถือได้ โดยใช้เนื้อหาหลักที่ใช้ร่วมกันสำหรับใบรับรองที่เพิ่มโดยผู้ดูแลระบบ

คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองเมื่อประมวลผลใบรับรองที่เพิ่มโดยผู้ดูแลระบบ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบใบรับรองให้ดียิ่งขึ้น

CVE-2020-9868: Brian Wolff จาก Asana

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020

sysdiagnose

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถยกระดับสิทธิ์ของตนได้

คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น

CVE-2020-9901: Tim Michaud (@TimGMichaud) จาก Leviathan, Zhongcheng Li (CK01) จาก Zero-dayits Team จาก Legendsec ที่ Qi'anxin Group

เพิ่มรายการเมื่อวันที่ 10 สิงหาคม 2020 และอัพเดทรายการเมื่อวันที่ 31 สิงหาคม 2020

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9894: 0011 ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

คำอธิบาย: มีปัญหาการเข้าถึงในนโยบายความปลอดภัยคอนเทนต์  ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการกำจัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2020-9915: Ayoub AIT ELMOKHTAR จาก Noon

อัพเดทรายการเมื่อวันที่ 28 กรกฎาคม 2020

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9925: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9893: 0011 ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

CVE-2020-9895: Wen Xu จาก SSLab, Georgia Tech

WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายที่มีความสามารถในการอ่านและการเขียนข้อมูลโดยอำเภอใจอาจสามารถบายพาสการตรวจสอบตัวชี้ได้

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2020-9910: Samuel Groß จาก Google Project Zero

การโหลดหน้า WebKit

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายอาจสามารถปกปิดปลายทางของ URL ได้

คำอธิบาย: ปัญหาการเข้ารหัส Unicode ใน URL ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

WebKit Web Inspector

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: การคัดลอก URL จาก Web Inspector อาจส่งผลให้เกิดการป้อนคำสั่งได้

คำอธิบาย: มีปัญหาการป้อนคำสั่งใน Web Inspector ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงยกเลิกการใช้ให้ดียิ่งขึ้น

CVE-2020-9862: Ophir Lojkine (@lovasoa)

WebRTC

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการล่มของฮีพผ่านสตรีม SCTP ที่สร้างขึ้นได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-6514: natashenka จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020

Wi-Fi

มีให้สำหรับ: Apple TV 4K และ Apple TV HD

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9918: Jianjun Dai จาก 360 Alpha Lab ที่ทำงานร่วมกับ 360 BugCloud (bugcloud.360.cn)

คำขอบคุณพิเศษ

CoreFoundation

เราขอขอบคุณสำหรับความช่วยเหลือจาก Bobby Pelletier

เพิ่มรายการเมื่อวันที่ 8 กันยายน 2020

ImageIO

เราขอขอบคุณสำหรับความช่วยเหลือจาก Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: