Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 17.1
Julkaistu 25.10.2023
Core Recents
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen
CVE-2023-42823
Kohta lisätty 16.2.2024
Game Center
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Kohta lisätty 16.2.2024
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42848: JZ
Kohta lisätty 16.2.2024
libxpc
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2023-42942: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
mDNSResponder
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: laitetta saatettiin pystyä seuraamaan passiivisesti sen Wi-Fi-yhteyden MAC-osoitteen perusteella.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42846: Talal Haj Bakry ja Tommy Mysk (Mysk Inc. @mysk_co)
Pro Res
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) sekä happybabywu ja Guang Gong (360 Vulnerability Research Institute)
Kohta lisätty 16.2.2024
Sandbox
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 16.2.2024
Siri
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42946
Kohta lisätty 16.2.2024
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee, Cross Republic)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) ja Vitor Pedreira (@0xvhp_), Agile Information Security
Kohta päivitetty 16.2.2024
Kiitokset
VoiceOver
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.