Om sikkerhedsindholdet i tvOS 16.4
I dette dokument beskrives sikkerhedsindholdet i tvOS 16.4.
Om Apple-sikkerhedsopdateringer
Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De seneste udgivelser er angivet på siden Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser til sikkerhedsrisici med et CVE-id, når det er muligt.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
tvOS 16.4
Udgivet den 27. marts 2023
AppleMobileFileIntegrity
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En bruger kan få adgang til beskyttede dele af arkivsystemet
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan muligvis læse vilkårlige arkiver
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-27955: JeongOhKyea
Post tilføjet 8. juni 2023
Core Bluetooth
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: Behandling af en skadelig Bluetooth-pakke kan medføre afsløring af proceshukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2023-23528: Jianjun Dai og Guang Gong fra 360 Vulnerability Research Institute
CoreCapture
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-28181: Tingting Yin fra Tsinghua University
FontParser
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-27956: Ye Zhang fra Baidu Security
Foundation
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: Parsing af en skadelig plist-fil kan medføre pludselig app-lukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2023-27937: En anonym programmør
Identity Services
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23535: ryuzaki
ImageIO
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab og jzhu der arbejder med Trend Micro Zero Day Initiative
ImageIO
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu, der arbejder med Trend Micro Zero Day Initiative, og Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab
Post tilføjet 21. december 2023
Kernel
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet blev løst ved forbedret kontrol af grænser.
CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea
Post tilføjet 8. juni 2023, opdateret 21. december 2023
Kernel
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem er rettet ved forbedret hukommelseshåndtering.
CVE-2023-27969: Adam Doupé fra ASU SEFCOM
Kernel
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-27933: sqrtpwn
Kernel
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2023-28185: Pan ZhenPeng fra STAR Labs SG Pte. Ltd.
Post tilføjet 21. december 2023
Podcasts
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Post tilføjet 8. juni 2023
Shortcuts
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2023-27963: Wenchao Li og Xiaolong Bai fra Alibaba Group samt Jubaer Alnazi Jabin fra TRS Group Of Companies
Post tilføjet 8. juni 2023
TCC
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: Behandling af skadeligt webindhold kan muligvis omgå politikken om samme oprindelse
Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.
WebKit Bugzilla: 248615
CVE-2023-27932: En anonym programmør
WebKit
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: Et websted kan potentielt spore følsomme brugeroplysninger
Beskrivelse: Problemet er løst ved at fjerne oplysninger om oprindelse.
WebKit Bugzilla: 250837
CVE-2023-27954: En anonym programmør
WebKit Web Inspector
Fås til: Apple TV 4K (alle modeller) og Apple TV HD
Effekt: En ekstern hacker kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) og crixer (@pwning_me) fra SSD Labs
Post tilføjet 8. juni 2023
Yderligere anerkendelser
CFNetwork
Vi vil gerne takke en anonym programmør for hjælpen.
CoreServices
Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.
ImageIO
Vi vil gerne takke Meysam Firouzi @R00tkitSMM for hjælpen.
WebKit
Vi vil gerne takke en anonym programmør for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.