Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 16.4
Julkaistu 27.3.2023
AppleMobileFileIntegrity
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27955: JeongOhKyea
Kohta lisätty 8.6.2023
Core Bluetooth
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: haitallisen Bluetooth-paketin käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-23528: Jianjun Dai ja Guang Gong (360 Vulnerability Research Institute)
CoreCapture
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-28181: Tingting Yin (Tsinghua University)
FontParser
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27956: Ye Zhang (Baidu Security)
Foundation
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Haitallisen plist-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-27937: nimetön tutkija
Identity Services
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23535: ryuzaki
ImageIO
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) ja jzhu yhteistyössä Trend Micro Zero Day Initiativen kanssa
ImageIO
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM)
CVE-2023-42865: jzhu yhteistyössä Trend Micro Zero Day Initiativen ja Meysam Firouzin (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) kanssa
Kohta lisätty 21.12.2023
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-23536: Félix Poulin-Bélanger ja David Pan Ogea
Kohta lisätty 8.6.2023 ja päivitetty 21.12.2023
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27933: sqrtpwn
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)
Kohta lisätty 21.12.2023
Podcastit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 8.6.2023
Shortcuts
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-27963: Wenchao Li ja Xiaolong Bai (Alibaba Group) sekä Jubaer Alnazi Jabin (TRS Group Of Companies)
Kohta lisätty 8.6.2023
TCC
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 248615
CVE-2023-27932: nimetön tutkija
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu poistamalla lähdetiedot.
WebKit Bugzilla: 250837
CVE-2023-27954: nimetön tutkija
WebKit Web Inspector
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) ja crixer (@pwning_me), SSD Labs
Kohta lisätty 8.6.2023
Kiitokset
CFNetwork
Haluamme kiittää avusta nimetöntä tutkijaa.
CoreServices
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
ImageIO
Haluamme kiittää Meysam Firouzia (@R00tkitSMM) hänen avustaan.
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.