เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 9.2.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 9.2.2
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
tvOS 9.2.2
ข้อมูลประจำตัว CFNetwork
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้
คำอธิบาย: มีปัญหาการดาวน์เกรดเกิดขึ้นกับข้อมูลประจำตัวสำหรับการรับรองความถูกต้องของ HTTP ที่บันทึกอยู่ในพวงกุญแจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการจัดเก็บประเภทการรับรองความถูกต้องพร้อมข้อมูลประจำตัว
CVE-2016-4644: Jerry Decime ประสานงานผ่าน CERT
CFNetwork Proxies
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้
คำอธิบาย: มีปัญหาการตรวจสอบในการแยกวิเคราะห์การตอบสนอง 407 ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการตอบสนองให้ดียิ่งขึ้น
CVE-2016-4643: Xiaofeng Zheng จาก Blue Lotus Team, Tsinghua University, Jerry Decime ประสานงานผ่าน CERT
CFNetwork Proxies
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นอาจส่งรหัสผ่านที่ไม่ได้เข้ารหัสผ่านเครือข่ายโดยไม่ทราบ
คำอธิบาย: การรับรองความถูกต้องของพร็อกซีรายงานผิดพลาดว่าพร็อกซี HTTP ได้รับข้อมูลประจำตัวอย่างปลอดภัย ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตือนให้ดียิ่งขึ้น
CVE-2016-4642: Jerry Decime ประสานงานผ่าน CERT
CoreGraphics
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้รหัสได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4637: Tyler Bohan จาก Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4632: Evgeny Sidorov จาก Yandex
ImageIO
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้รหัสได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4631: Tyler Bohan จาก Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7705: Craig Young จาก Tripwire VERT
IOAcceleratorFamily
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4627: Ju Zhu จาก Trend Micro
IOHIDFamily
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4626: Stefan Esser จาก SektionEins
เคอร์เนล
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-1863: Ian Beer จาก Google Project Zero
CVE-2016-4653: Ju Zhu จาก Trend Micro
CVE-2016-4582: Shrek_wzw และ Proteas จาก Qihoo 360 Nirvan Team
เคอร์เนล
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบปฏิเสธบริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-1865: CESG, Marco Grassi (@marcograss) จาก KeenLab(@keen_lab), Tencent
libxml2
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: มีปัญหาการเข้าถึงในการแยกวิเคราะห์ไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4449: Kostya Serebryany
libxml2
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: มีช่องโหว่จำนวนมากใน libxml2
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2015-8317 : Hanno Boeck
CVE-2016-1836: Wei Lei และ Liu Yang จาก Nanyang Technological University
CVE-2016-4447: Wei Lei และ Liu Yang จาก Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxslt
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: มีช่องโหว่จำนวนมากใน libxslt
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-1683 : Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
โปรไฟล์ Sandbox
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถเข้าถึงรายการกระบวนการได้
คำอธิบาย: มีปัญหาในการเข้าถึงด้วยการเรียก API ที่มีสิทธิ์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านข้อจำกัดเพิ่มเติม
CVE-2016-4594: Stefan Esser จาก SektionEins
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4586: Apple
CVE-2016-4588: Apple
CVE-2016-4589: Tongbo Luo และ Bo Qu จาก Palo Alto Networks
CVE-2016-4622: Samuel Gross ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลภาพจากเว็บไซต์อื่น
คำอธิบาย: มีปัญหาเกี่ยวกับการบันทึกเวลาในการประมวลผล SVG ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4583: Roeland Krak
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4587: Apple
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหลได้
คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการตัวแปรตำแหน่งที่ตั้ง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบเพิ่มเติมเกี่ยวกับสถานะความเป็นเจ้าของ
CVE-2016-4591: ma.la จาก LINE Corporation
WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4592: Mikhail
การโหลดหน้า WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มี
การใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้ว
ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4584: Chris Vienneau
การโหลดหน้า WebKit
มีให้สำหรับ: Apple TV (รุ่นที่ 4)
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง
คำอธิบาย: มีปัญหา Cross-Site Scripting ในการเปลี่ยนเส้นทาง URL ของ Safari ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการเปลี่ยนเส้นทาง URL ให้ดียิ่งขึ้น
CVE-2016-4585: Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม