Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
tvOS 17.1
Disponible el 25 de octubre de 2023
Core Recents
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app podría acceder a datos confidenciales de los usuarios.
Descripción: el problema se ha solucionado limpiando los registros
CVE-2023-42823
Entrada añadida el 16 de febrero de 2024
Game Center
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: se ha solucionado un problema de permisos con restricciones adicionales.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Entrada añadida el 16 de febrero de 2024
ImageIO
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42848: JZ
Entrada añadida el 16 de febrero de 2024
libxpc
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app creada con fines malintencionados podría ser capaz de obtener privilegios de raíz.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2023-42942: Mickey Jin (@patch1t)
Entrada añadida el 16 de febrero de 2024
mDNSResponder
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: la dirección MAC wifi de un dispositivo podría hacer un seguimiento pasivo de este.
Descripción: el problema se ha solucionado eliminando el código vulnerable.
CVE-2023-42846: Talal Haj Bakry y Tommy Mysk de Mysk Inc. @mysk_co
Pro Res
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app podría ejecutar código arbitrario con privilegios de kernel.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), y happybabywu y Guang Gong de 360 Vulnerability Research Institute
Entrada añadida el 16 de febrero de 2024
Sandbox
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app puede acceder a la información confidencial del usuario.
Descripción: este problema se ha solucionado con la mejora de la gestión del estado.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada añadida el 16 de febrero de 2024
Siri
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app podría filtrar información confidencial del usuario.
Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.
CVE-2023-42946
Entrada añadida el 16 de febrero de 2024
WebKit
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) de Cross Republic
WebKit
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de uso después de estar libre mediante la mejora de la gestión de la memoria.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar contenido web puede provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) y Vitor Pedreira (@0xvhp_) de Agile Information Security
Entrada actualizada el 16 de febrero de 2024
Otros agradecimientos
VoiceOver
Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.
WebKit
Queremos dar las gracias a un investigador anónimo por su ayuda.