Tietoja tvOS 17.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 17.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

tvOS 17.2

Julkaistu 11.12.2023

AVEVideoEncoder

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2023-42884: nimetön tutkija

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin ja Junsung Lee

CVE-2023-42899: Meysam Firouzi (@R00tkitSMM) ja Junsung Lee

Kohta päivitetty 22.3.2024

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv)

Libsystem

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.

CVE-2023-42893

Kohta lisätty 22.3.2024

Sandbox

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2023-42936

Kohta lisätty 22.3.2024

TCC

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2023-42947: Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)

Kohta lisätty 22.3.2024

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Verkkosisällön käsittely saattoi julkaista arkaluonteisia tietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 16.7.1 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne (Googlen Threat Analysis Group)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 16.7.1 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne (Googlen Threat Analysis Group)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute) ja rushikesh nandedkar

Kohta lisätty 22.3.2024

 

Kiitokset

WebSheet

Haluamme kiittää avusta e-phors S.p.A:n (FINCANTIERI S.p.A. -yhtiö) Paolo Ruggeroa.

Kohta lisätty 22.3.2024

Wi-Fi

Haluamme kiittää avusta Noah Roskin-Frazeeta ja Prof. J:tä (ZeroClicks.ai Lab).

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: