Tietoja tvOS 16.6:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 16.6:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 16.6
Julkaistu 24.7.2023
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-38590: Zweig (Kunlun Lab)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-38604: nimetön tutkija
Kohta lisätty 27.7.2023
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-32734: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs SG Pte. Ltd.)
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Appi saattoi pystyä muokkaamaan arkaluonteisia kernelin tilatietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) ja Boris Larin (@oct0xor) (Kaspersky)
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32381: nimetön tutkija
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie ja Xiaolong Bai (Alibaba Group)
libxpc
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-38593: Noah Roskin-Frazee
Kohta lisätty 27.7.2023
libxpc
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-38565: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Kohta lisätty 27.7.2023
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin ja Yuval Yarom
Kohta lisätty 27.7.2023
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: dokumentin käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Kohta lisätty 27.7.2023
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina ja Lorenzo Veronese (TU Wien)
Kohta lisätty 27.7.2023
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosivusto saattoi pystyä ohittamaan saman alkuperän käytännön.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia)
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Bugzilla: 256573
CVE-2023-38595: nimetön tutkija, Jiming Wang ja Jikai Ren
WebKit Bugzilla: 257387
CVE-2023-38600: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä nimetön henkilö
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 259231
CVE-2023-37450: nimetön tutkija
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) ja Junsung Lee
Kohta lisätty 21.12.2023
WebKit Web Inspector
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Kiitokset
WebKit
Haluamme kiittää avusta Narendra Bhatia (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia).
Kohta lisätty 27.7.2023
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.