Tietoja tvOS 17.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 17.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

tvOS 17.1

Core Recents

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen

CVE-2023-42823

Game Center

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-42848: JZ

libxpc

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.

CVE-2023-42942: Mickey Jin (@patch1t)

mDNSResponder

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: laitetta saatettiin pystyä seuraamaan passiivisesti sen Wi-Fi-yhteyden MAC-osoitteen perusteella.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-42846: Talal Haj Bakry ja Tommy Mysk (Mysk Inc. @mysk_co)

Pro Res

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-42873: Mingxuan Yang (@PPPF00L) sekä happybabywu ja Guang Gong (360 Vulnerability Research Institute)

Sandbox

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Siri

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-42946

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40447: 이준성(Junsung Lee, Cross Republic)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) ja Vitor Pedreira (@0xvhp_), Agile Information Security

Kiitokset

VoiceOver

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

WebKit

Haluamme kiittää avusta nimetöntä tutkijaa.