Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
tvOS 16.4
Κυκλοφόρησε στις 27 Μαρτίου 2023
AppleMobileFileIntegrity
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης αυθαίρετων αρχείων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-27955: JeongOhKyea
Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023
Core Bluetooth
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πακέτου Bluetooth μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2023-23528: Jianjun Dai και Guang Gong του 360 Vulnerability Research Institute
CoreCapture
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-28181: Tingting Yin του Tsinghua University
FontParser
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-27956: Ye Zhang της Baidu Security
Foundation
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου plist μπορεί να οδηγήσει σε απρόσμενο τερματισμό εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2023-27937: ένας ανώνυμος ερευνητής
Identity Services
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις πληροφορίες σχετικά με τις επαφές ενός χρήστη
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-27928: Csaba Fitzl (@theevilbit) της Offensive Security
ImageIO
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-23535: ryuzaki
ImageIO
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) του Mbition Mercedes-Benz Innovation Lab και jzhu σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
ImageIO
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro και Meysam Firouzi (@R00tkitSMM) του Mbition Mercedes-Benz Innovation Lab
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
Kernel
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2023-23536: Félix Poulin-Bélanger και David Pan Ogea
Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023 και ενημερώθηκε στις 21 Δεκεμβρίου 2023
Kernel
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-27969: Adam Doupé της ASU SEFCOM
Kernel
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-27933: sqrtpwn
Kernel
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2023-28185: Pan ZhenPeng, STAR Labs SG Pte. Ltd.
Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023
Podcasts
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023
Shortcuts
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς προτροπή προς τον χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον ελέγχους δικαιωμάτων.
CVE-2023-27963: Wenchao Li και Xiaolong Bai του Alibaba Group και Jubaer Alnazi Jabin της TRS Group Of Companies
Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023
TCC
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να παρακάμψει την πολιτική ίδιας προέλευσης
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
WebKit Bugzilla: 248615
CVE-2023-27932: ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας ιστότοπος ενδέχεται να μπορεί να παρακολουθεί ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με την κατάργηση των πληροφοριών προέλευσης.
WebKit Bugzilla: 250837
CVE-2023-27954: ανώνυμος ερευνητής
WebKit Web Inspector
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) και crixer (@pwning_me) του SSD Labs
Η καταχώριση προστέθηκε στις 8 Ιουνίου 2023
Επιπλέον αναγνώριση
CFNetwork
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
CoreServices
Θα θέλαμε να ευχαριστήσουμε τον Mickey Jin (@patch1t) για τη βοήθειά του.
ImageIO
Θα θέλαμε να ευχαριστήσουμε τον Meysam Firouzi @R00tkitSMM για τη βοήθειά του.
WebKit
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.