Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 16.5
Julkaistu 18.5.2023
Accessibility
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: tälle apille myönnettyjä oikeuksia ja tietosuojalupia saattoi käyttää myös haitallinen appi
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-32400: Mickey Jin (@patch1t)
Kohta lisätty 5.9.2023
Accounts
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: hyökkääjä saattoi pystyä vuotamaan käyttäjätilien sähköpostiosoitteita.
Kuvaus: lupaongelma on ratkaistu parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)
Kohta lisätty 5.9.2023
AppleMobileFileIntegrity
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2023-32411: Mickey Jin (@patch1t)
Core Location
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-32399: Adam M.
Kohta päivitetty 5.9.2023
CoreServices
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-32392: Adam M.
Kohta päivitetty 5.9.2023
ImageIO
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32372: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kohta päivitetty 5.9.2023
ImageIO
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2023-32384: Trend Micro Zero Day Initiativen parissa työskentelevä Meysam Firouzi (@R00tkitsmm)
IOSurfaceAccelerator
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32354: Linus Henze (Pinauten GmbH, pinauten.de)
IOSurfaceAccelerator
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32420: CertiK SkyFall Team ja Linus Henze (Pinauten GmbH (pinauten.de))
Kohta päivitetty 5.9.2023
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27930: 08Tc3wBB (Jamf)
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
Kernel
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-32413: Trend Micro Zero Day Initiativen parissa työskentelevä Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv, @Synacktiv)
LaunchServices
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)
Kohta lisätty 5.9.2023
MallocStackLogging
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyä.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Kohta lisätty 5.9.2023
Metal
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: 3D-mallin käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: Tämä ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-32403: Adam M.
Kohta päivitetty 5.9.2023
NSURLSession
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä poistumaan eristyksestään
Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyprotokollaa.
CVE-2023-32437: Thijs Alkemade (Computest Sector 7)
Kohta lisätty 5.9.2023
Photos
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Kätketyt-albumissa olevia kuvia pystyi katselemaan ilman todennusta käyttämällä visuaalista hakua.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-32390: Julian Szulc
Kohta lisätty 5.9.2023
Sandbox
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä säilyttämään pääsyn järjestelmän määritystiedostoihin vielä käyttöoikeuden kumoamisen jälkeen.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) ja Csaba Fitzl (@theevilbit, Offensive Security)
Share Sheet
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-32432: Kirin (@Pwnrin)
Kohta lisätty 5.9.2023
Shortcuts
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Pikakuvake saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-32391: Wenchao Li ja Xiaolong Bai (Alibaba Group)
Kohta lisätty 5.9.2023
Shortcuts
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2023-32404: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab (xlab.tencent.com)), Mickey Jin (@patch1t) ja nimetön tutkija
Kohta lisätty 5.9.2023
Siri
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä katsomaan yhteystietoja lukitulta näytöltä.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-32394: Khiem Tran
SQLite
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: ongelma on ratkaistu lisäämällä SQLite-lisäkirjauksen rajoituksia.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) ja Wojciech Reguła (SecuRing, wojciechregula.blog)
Kohta päivitetty 2.6.2023
StorageKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: apin palomuuriasetus ei välttämättä tullut voimaan Asetukset-apista poistumisen jälkeen.
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-28202: Satish Panduranga ja nimetön tutkija
Telephony
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-32408: Adam M.
Weather
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-32415: Wojciech Regula (SecuRing, wojciechregula.blog) ja nimetön tutkija
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 255075
CVE-2023-32402: nimetön tutkija
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: etähyökkääjä saattoi pystyä poistumaan verkkosisällön eristyksestä. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Google Threat Analysis Group) ja Donncha Ó Cearbhaill (Amnesty Internationalin Security Lab)
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 254930
CVE-2023-28204: nimetön tutkija
WebKit
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 254840
CVE-2023-32373: nimetön tutkija
Wi-Fi
Saatavuus: Apple TV 4K (kaikki mallit) ja Apple TV HD
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: Ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kiitokset
Accounts
Haluamme kiittää avusta Sergii Kryvoblotskyita (MacPaw Inc.).
CloudKit
Haluamme kiittää avusta Iconicia.
libxml2
Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).
Reminders
Haluamme kiittää avusta Kirinia (@Pwnrin).
Security
Haluamme kiittää avusta Brandon Tomsia.
Share Sheet
Haluamme kiittää avusta Kirinia (@Pwnrin).
Wallet
Haluamme kiittää avusta James Duffya (mangoSecure).