Informationen zum Sicherheitsinhalt von tvOS 17
In diesem Dokument wird der Sicherheitsinhalt von tvOS 17 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Veröffentlichungen findest du auf der Seite der Apple-Sicherheitsupdates und -maßnahmen.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
tvOS 17
Veröffentlicht am 18. September 2023
AirPort
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.
CVE-2023-40384: Adam M.
App Store
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Ein entfernter Angreifer kann möglicherweise die Sandbox für Webinhalte umgehen
Beschreibung: Das Problem wurde durch eine verbesserte Protokollverarbeitung behoben.
CVE-2023-40448: w0wbox
Apple Neural Engine
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) von Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2023-40410: Tim Michaud (@TimGMichaud) von Moveworks.ai
AuthKit
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2023-32361: Csaba Fitzl (@theevilbit) von Offensive Security
Bluetooth
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Ein Angreifer, der sich in der Nähe befindet, kann einen begrenzten Schreibvorgang außerhalb des zugewiesenen Bereichs verursachen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2023-35984: zer0k
bootp
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.
CVE-2023-41065: Adam M., Noah Roskin-Frazee und Professor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise App Transport Security nicht durchsetzen.
Beschreibung: Das Problem wurde durch eine verbesserte Protokollverarbeitung behoben.
CVE-2023-38596: Will Brattain bei Trail of Bits
CoreAnimation
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung von Webinhalten kann zu einem Denial-of-Service führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-40420: 이준성(Junsung Lee) von Cross Republic
Core Data
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2023-40528: Kirin (@Pwnrin) von NorthSea
Eintrag am 22. Januar 2024 hinzugefügt
Dev Tools
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf Kontakte zugreifen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2023-40395: Csaba Fitzl (@theevilbit) von Offensive Security
GPU Drivers
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-40391: Antonio Zekic (@antoniozekic) von Dataflow Security
IOUserEthernet
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-40396: Certik Skyfall Team
Eintrag hinzugefügt am 16. Juli 2024
Kernel
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Ein Angreifer, der bereits Codes im Kernel ausführen kann, kann Schutzmaßnahmen für den Kernel-Speicher umgehen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-41981: Linus Henze von der Pinauten GmbH (pinauten.de)
Kernel
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd.
Kernel
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2023-40429: Michael (Biscuit) Thomas und 张师傅(@京东蓝军)
libpcap
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2023-40400: Sei K.
libxpc
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise Dateien löschen, für die sie keine Zugriffsrechte hat.
Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.
CVE-2023-40454: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.
Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2023-41073: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Bei der Verarbeitung von Webinhalten können vertrauliche Informationen offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) von PK Security
Maps
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2023-40427: Adam M. und Wojciech Regula von SecuRing (wojciechregula.blog)
MobileStorageMounter
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Ein Nutzer kann die Rechte erhöhen.
Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2023-41068: Mickey Jin (@patch1t)
Photos
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf bearbeitete Fotos zugreifen, die in einem temporären Verzeichnis gesichert sind.
Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.
CVE-2023-42949: Kirin (@Pwnrin)
Eintrag hinzugefügt am 16. Juli 2024
Photos Storage
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise auf bearbeitete Fotos zugreifen, die in einem temporären Verzeichnis gesichert sind.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Pro Res
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-41063: Certik Skyfall Team
Sandbox
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise willkürliche Dateien überschreiben.
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Simulator
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Eine App kann möglicherweise willkürliche Dateien lesen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
WebKit
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) von Cross Republic und Jie Ding(@Lime) vom HKUS3 Lab
Eintrag am 22. Dezember 2023 aktualisiert
WebKit
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) und Jong Seong Kim(@nevul37)
Eintrag am 22. Dezember 2023 aktualisiert
WebKit
Verfügbar für: Apple TV HD und Apple TV 4K (alle Modelle)
Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Eintrag am 22. Dezember 2023 hinzugefügt
Zusätzliche Danksagung
Airport
Wir möchten uns bei Adam M., Noah Roskin-Frazee und Professor Jason Lau (ZeroClicks.ai Lab) für die Unterstützung bedanken.
AppSandbox
Wir möchten uns bei Kirin (@Pwnrin) für die Unterstützung bedanken.
Audio
Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.
Bluetooth
Wir möchten uns bei Jianjun Dai und Guang Gong vom 360 Vulnerability Research Institute für die Unterstützung bedanken.
Control Center
Wir möchten uns bei Chester van den Bogaard für die Unterstützung bedanken.
Kernel
Wir möchten uns bei Bill Marczak von The Citizen Lab an der Munk School der University of Toronto, Maddie Stone von der Threat Analysis Group von Google und 永超 王 für die Unterstützung bedanken.
libxml2
Wir möchten uns bei OSS-Fuzz und Ned Williamson von Google Project Zero für die Unterstützung bedanken.
libxpc
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
libxslt
Wir möchten uns bei Dohyun Lee (@l33d0hyun) von PK Security, OSS-Fuzz und Ned Williamson von Google Project Zero für die Unterstützung bedanken.
NSURL
Wir möchten uns bei Zhanpeng Zhao (行之) und 糖豆爸爸(@晴天组织) für die Unterstützung bedanken.
Photos
Wir möchten uns bei Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius und Paul Lurin für die Unterstützung bedanken.
Eintrag am Mittwoch, 16. Juli 2024 aktualisiert
Photos Storage
Wir möchten uns bei Wojciech Regula von SecuRing (wojciechregula.blog) für die Unterstützung bedanken.
Power Services
Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.
Shortcuts
Wir möchten uns bei folgenden Personen für die Unterstützung bedanken: Alfie CG, Christian Basting vom Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca von der „Tudor Vianu“ National High School of Computer Science, Rumänien, Giorgos Christodoulidis, Jubaer Alnazi von der TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) und Matthew Butler.
Eintrag am 24. April 2024 aktualisiert
Software Update
Wir möchten uns bei Omar Siman für die Unterstützung bedanken.
Spotlight
Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal und Dawid Paluska für die Unterstützung bedanken.
StorageKit
Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.
WebKit
Wir möchten uns bei Khiem Tran und Narendra Bhati von Suma Soft Pvt. Ltd. und einem anonymen Forscher für die Unterstützung bedanken.
Wi-Fi
Wir möchten uns bei Wang Yu von Cyberserval für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.