Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
tvOS 16.5
Κυκλοφόρησε στις 18 Μαΐου 2023
Accessibility
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Τα δικαιώματα και οι άδειες απορρήτου που έχουν εκχωρηθεί σε αυτή την εφαρμογή ενδέχεται να χρησιμοποιηθούν από μια κακόβουλη εφαρμογή
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32400: Mickey Jin (@patch1t)
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Accounts
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορέσει να διαρρεύσει διευθύνσεις email χρήστη
Περιγραφή: Αυτό το πρόβλημα δικαιωμάτων αντιμετωπίστηκε μέσω βελτιωμένης απόκρυψης ευαίσθητων πληροφοριών.
CVE-2023-34352: Sergii Kryvoblotskyi του MacPaw Inc.
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
AppleMobileFileIntegrity
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2023-32411: Mickey Jin (@patch1t)
Core Location
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-32399: Adam M.
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
CoreServices
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-32392: Adam M.
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
ImageIO
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM του Mbition Mercedes-Benz Innovation Lab σε συνεργασία με το Trend Micro Zero Day Initiative
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
ImageIO
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
IOSurfaceAccelerator
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32354: Linus Henze του Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος ή να πραγματοποιήσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32420: CertiK SkyFall Team και Linus Henze της Pinauten GmbH (pinauten.de)
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
Kernel
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-27930: 08Tc3wBB της Jamf
Kernel
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-32398: Adam Doupé της ASU SEFCOM
Kernel
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) της Synacktiv (@Synacktiv) σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
LaunchServices
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) της SecuRing (wojciechregula.blog)
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
MallocStackLogging
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό αρχείων.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Metal
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός τρισδιάστατου μοντέλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.
CVE-2023-32403: Adam M.
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
NSURLSession
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιώσεις στο πρωτόκολλο χειρισμού αρχείων.
CVE-2023-32437: Thijs Alkemade της Computest Sector 7
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Photos
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Οι φωτογραφίες που ανήκουν στο Άλμπουμ κρυφών φωτογραφιών ενδέχεται να μπορούν να προβληθούν χωρίς έλεγχο ταυτότητας μέσω της Οπτικής αναζήτησης
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32390: Julian Szulc
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Sandbox
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διατηρήσει την πρόσβαση σε αρχεία διαμόρφωσης συστήματος ακόμη και μετά την ανάκληση της άδειά της
Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa της FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) και Csaba Fitzl (@theevilbit) της Offensive Security
Share Sheet
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένο χειρισμό προσωρινών αρχείων.
CVE-2023-32432: Kirin (@Pwnrin)
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Shortcuts
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς προτροπή προς τον χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32391: Wenchao Li και Xiaolong Bai της Alibaba Group
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Shortcuts
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2023-32404: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com), Mickey Jin (@patch1t) και ένας ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Siri
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή ενδέχεται να μπορεί να προβάλει πληροφορίες επαφών από την οθόνη κλειδώματος
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2023-32394: Khiem Tran
SQLite
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη επιπλέον περιορισμών καταγραφής SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) και Wojciech Reguła της SecuRing (wojciechregula.blog)
Η καταχώριση ενημερώθηκε στις 2 Ιουνίου 2023
StorageKit
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να τροποποιήσει προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια ρύθμιση τείχους προστασίας εφαρμογής ενδέχεται να μην τεθεί σε ισχύ μετά το κλείσιμο της εφαρμογής Ρυθμίσεις
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-28202: Satish Panduranga και ένας ανώνυμος ερευνητής
Telephony
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2023-32412: Ivan Fratric του Google Project Zero
TV App
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-32408: Adam M.
Weather
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.
CVE-2023-32415: Wojciech Regula της SecuRing (wojciechregula.blog) και ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
WebKit Bugzilla: 255075
CVE-2023-32402: ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαφύγει από το sandbox περιεχομένου ιστού. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne του Threat Analysis Group της Google και Donncha Ó Cearbhaill του Security Lab της Amnesty International
WebKit
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
WebKit Bugzilla: 254930
CVE-2023-28204: ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
WebKit Bugzilla: 254840
CVE-2023-32373: ένας ανώνυμος ερευνητής
Wi-Fi
Διατίθεται για: Apple TV 4K (όλα τα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd.
Επιπλέον αναγνώριση
Accounts
Θα θέλαμε να ευχαριστήσουμε τον Sergii Kryvoblotskyi της MacPaw Inc. για τη βοήθειά του.
CloudKit
Θα θέλαμε να ευχαριστήσουμε τον χρήστη Iconic για τη βοήθειά του.
libxml2
Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.
Reminders
Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.
Security
Θα θέλαμε να ευχαριστήσουμε τον Brandon Toms για τη βοήθειά του.
Share Sheet
Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.
Wallet
Θα θέλαμε να ευχαριστήσουμε τον James Duffy (mangoSecure) για τη βοήθειά του.