Tietoja tvOS 17.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 17.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

tvOS 17.3

Apple Neural Engine

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23212: Ye Zhang (Baidu Security)

CoreCrypto

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä saattoi pystyä purkamaan vanhojen RSA PKCS#1 v1.5 ciphertexts -tekstien salauksen ilman yksityistä avainta

Kuvaus: ajoituksen sivukanavan ongelma on ratkaistu parantamalla vakioajan laskentaa salaustoiminnoissa.

CVE-2024-23218: Clemens Lang

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23208: fmyy(@binary_fmyy) ja lime (QI-ANXIN Groupin TIANGONG Team of Legendsec)

libxpc

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-23201: Koh M. Nakagawa (FFRI Security, Inc.) ja nimetön tutkija

NSSpellChecker

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-23223: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

Power Manager

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä vioittamaan lisäprosessorin muistia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

TCC

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: sovellus pystyi ehkä näkemään käyttäjän puhelinnumeron järjestelmälokeista

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2024-23210: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2024-23206: nimetön tutkija

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23213: Wangtaiyu (Zhongfu info)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23222

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Haitallinen sivusto saattoi aiheuttaa odottamatonta eri lähteiden välistä toimintaa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-23271: James Lee (@Windowsrcer)

Kiitokset

NetworkExtension

Haluamme kiittää avusta Nils Rollshausenia.