Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 17.4
Julkaistu 7.3.2024
Accessibility
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallinen appi saattoi pystyä tarkkailemaan käyttöapuilmoituksiin liittyviin lokimerkintöihin sisältyviä käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-23291
AppleMobileFileIntegrity
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-23288: Wojciech Regula (SecuRing, wojciechregula.blog) ja Kirin (@Pwnrin)
CoreBluetooth - LE
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään liitettyjä Bluetooth-mikrofoneja ilman käyttäjän lupaa.
Kuvaus: käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.
CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)
file
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-48554
Image Processing
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-23270: nimetön tutkija
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-23235
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan kernel-muistin suojauksen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2024-23225
libxpc
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23278: nimetön tutkija
libxpc
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-0258: ali yabuz
MediaRemote
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haittaohjelma saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23297: scj643
Metal
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) yhteistyössä Trend Micro Zero Day Initiativen kanssa
RTKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan kernel-muistin suojauksen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2024-23296
Sandbox
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2024-23290: Wojciech Regula (SecuRing, wojciechregula.blog)
Siri
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-23293: Bistrit Dahal
Spotlight
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-23241
UIKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-23246: Deutsche Telekom Security GmbH, sponsorina Bundesamt für Sicherheit in der Informationstechnik
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallinen verkkosivusto saattoi vuotaa äänitietoja eri alkuperien kesken.
Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.
Kuvaus: logiikkaongelma on ratkaistu parantamalla validointia.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallinen verkkosivu saattoi pystyä tallentamaan käyttäjän sormenjäljen.
Kuvaus: annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.
WebKit Bugzilla: 266703
CVE-2024-23280: nimetön tutkija
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber ja Marco Squarcina
Kiitokset
CoreAnimation
Haluamme kiittää Junsung Leetä hänen avustaan.
CoreMotion
Haluamme kiittää Eric Dorphya (Twin Cities App Dev LLC) hänen avustaan.
Kernel
Haluamme kiittää Tarek Joumaata (@tjkr0wn) hänen avustaan.
libxml2
Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).
libxpc
Haluamme kiittää Rasmus Steniä (F-Secure, Mastodon: @pajp@blog.dll.nu) ja nimetöntä tutkijaa heidän avustaan.
Photos
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).
Power Management
Haluamme kiittää Pan ZhenPengiä (@Peterpan0927, STAR Labs SG Pte. Ltd.) hänen avustaan.
Sandbox
Haluamme kiittää Zhongquan Litä (@Guluisacat) hänen avustaan.
Siri
Haluamme kiittää Bistrit Dahalia hänen avustaan.
Software Update
Haluamme kiittää Bin Zhangia (Dublin City University) hänen avustaan.
WebKit
Haluamme kiittää Nan Wangia (@eternalsakura13, 360 Vulnerability Research Institute) sekä Valentino Dalla Vallea, Pedro Bernardoa, Marco Squarcinaa ja Lorenzo Veronesea (TU Wien) heidän avustaan.