Tietoja tvOS 16.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 16.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

tvOS 16.4

Julkaistu 27.3.2023

AppleMobileFileIntegrity

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: Käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-23527: Mickey Jin (@patch1t)

ColorSync

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-27955: JeongOhKyea

Kohta lisätty 8.6.2023

Core Bluetooth

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: haitallisen Bluetooth-paketin käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2023-23528: Jianjun Dai ja Guang Gong (360 Vulnerability Research Institute)

CoreCapture

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-28181: Tingting Yin (Tsinghua University)

FontParser

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-27956: Ye Zhang (Baidu Security)

Foundation

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: Haitallisen plist-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2023-27937: nimetön tutkija

Identity Services

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)

ImageIO

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-23535: ryuzaki

ImageIO

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) ja jzhu yhteistyössä Trend Micro Zero Day Initiativen kanssa

ImageIO

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM)

CVE-2023-42865: jzhu yhteistyössä Trend Micro Zero Day Initiativen ja Meysam Firouzin (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) kanssa

Kohta lisätty 21.12.2023

Kernel

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-23536: Félix Poulin-Bélanger ja David Pan Ogea

Kohta lisätty 8.6.2023 ja päivitetty 21.12.2023

Kernel

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-27969: Adam Doupé (ASU SEFCOM)

Kernel

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-27933: sqrtpwn

Kernel

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)

Kohta lisätty 21.12.2023

Podcastit

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 8.6.2023

Shortcuts

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2023-27963: Wenchao Li ja Xiaolong Bai (Alibaba Group) sekä Jubaer Alnazi Jabin (TRS Group Of Companies)

Kohta lisätty 8.6.2023

TCC

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön

Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 248615
CVE-2023-27932: nimetön tutkija

WebKit

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Ongelma on ratkaistu poistamalla lähdetiedot.

WebKit Bugzilla: 250837
CVE-2023-27954: nimetön tutkija

WebKit Web Inspector

Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-28201: Dohyun Lee (@l33d0hyun) ja crixer (@pwning_me), SSD Labs

Kohta lisätty 8.6.2023

Kiitokset

CFNetwork

Haluamme kiittää avusta nimetöntä tutkijaa.

CoreServices

Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.

ImageIO

Haluamme kiittää Meysam Firouzia (@R00tkitSMM) hänen avustaan.

WebKit

Haluamme kiittää avusta nimetöntä tutkijaa.

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: