Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
tvOS 17.4
Udgivet den 07. marts 2024
Accessibility
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En skadelig app har muligvis adgang til at observere brugerdata i logposter, der er relateret til tilgængelighedsnotifikationer
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2024-23291
AppleMobileFileIntegrity
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app får muligvis ekstra rettigheder
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2024-23288: Wojciech Regula fra SecuRing (wojciechregula.blog) og Kirin (@Pwnrin)
CoreBluetooth - LE
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan muligvis få adgang til Bluetooth-forbundne mikrofoner uden brugertilladelse
Beskrivelse: Et adgangsproblem er løst med forbedrede adgangsbegrænsninger.
CVE-2024-23250: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
file
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: Behandling af et arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-48554
Image Processing
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2024-23270: en anonym programmør
ImageIO
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: Behandling af et billede kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.
CVE-2024-23235
Kernel
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen
Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet via forbedret låsning.
CVE-2024-23265: Xinru Chi fra Pangu Lab
Kernel
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En hacker med mulighed for at læse fra og skrive til kernen kan muligvis omgå beskyttelsen af kernehukommelsen. Apple er opmærksom på, at dette problem kan være blevet udnyttet.
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2024-23225
libxpc
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2024-23278: en anonym programmør
libxpc
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan muligvis køre vilkårlig kode fra sin sandbox eller med bestemte hævede rettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2024-0258: ali yabuz
MediaRemote
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: Et skadeligt program kan muligvis få adgang til private oplysninger
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2024-23297: scj643
Metal
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm, der arbejder med Trend Micro Zero Day Initiative
RTKit
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En hacker med mulighed for at læse fra og skrive til kernen kan muligvis omgå beskyttelsen af kernehukommelsen. Apple er opmærksom på, at dette problem kan være blevet udnyttet.
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2024-23296
Sandbox
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2024-23290: Wojciech Regula fra SecuRing (wojciechregula.blog)
Siri
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata
Beskrivelse: Problemet blev løst ved hjælp af forbedret statusadministration.
CVE-2024-23293: Bistrit Dahal
Spotlight
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Problemet blev løst ved hjælp af forbedret statusadministration.
CVE-2024-23241
UIKit
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2024-23246: Deutsche Telekom Security GmbH sponsoreret af Bundesamt für Sicherheit in der Informationstechnik
WebKit
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: Et skadeligt websted kan føre til cross-origin-eksfiltration af lyddata
Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: En webside med skadeligt indhold kan muligvis få adgang til brugerdata
Beskrivelse: Et problem med indsættelse er løst via forbedret godkendelse.
WebKit Bugzilla: 266703
CVE-2024-23280: en anonym programmør
WebKit
Fås til: Apple TV HD og Apple TV 4K (alle modeller)
Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber og Marco Squarcina
Yderligere anerkendelser
CoreAnimation
Vi vil gerne takke Junsung Lee for hjælpen.
CoreMotion
Vi vil gerne takke Eric Dorphy fra Twin Cities App Dev LLC for hjælpen.
Kernel
Vi vil gerne takke Tarek Joumaa (@tjkr0wn) for hjælpen.
libxml2
Vi vil gerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjælpen.
libxpc
Vi vil gerne takke Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu), og en anonym programmør for hjælpen.
Photos
Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal for hjælpen.
Power Management
Vi vil gerne takke Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd. for hjælpen.
Sandbox
Vi vil gerne takke Zhongquan Li (@Guluisacat) for hjælpen.
Siri
Vi vil gerne takke Bistrit Dahal for hjælpen.
Software Update
Vi vil gerne takke Bin Zhang fra Dublin City University for hjælpen.
WebKit
Vi vil gerne takke Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina og Lorenzo Veronese fra TU Wien for hjælpen.