מידע על תוכן האבטחה של tvOS 17.3
מסמך זה מתאר את תוכן האבטחה של tvOS 17.3.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
tvOS 17.3
הופץ ב-22 בינואר 2024
Apple Neural Engine
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-23212: Ye Zhang מ-Baidu Security
CoreCrypto
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף עלול להיות מסוגל לפענח מידע מוצפן (ciphertext) של RSA PKCS#1 v1.5 מדור קודם מבלי שהמפתח הפרטי בידיו
תיאור: בעיית תזמון בערוץ צדדי טופלה באמצעות שיפורים במחשוב זמן קבוע בפונקציות קריפטוגרפיות.
CVE-2024-23218: Clemens Lang
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-23208: fmyy(@binary_fmyy) ו-lime מ-TIANGONG Team of Legendsec ב-QI-ANXIN Group
libxpc
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-23201: קו מ' נאקגוואה מ-FFRI Security, Inc. חוקר אנונימי
הרשומה נוספה ב-7 במרץ 2024
NSSpellChecker
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.
CVE-2024-23223: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
Power Manager
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להשחית את הזיכרון של מעבד העזר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
הרשומה נוספה ב-24 באפריל 2024
TCC
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להיות מסוגל להציג מספר טלפון של משתמש ביומני מערכת
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2024-23210: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
WebKit Bugzilla: 262699
CVE-2024-23206: חוקר אנונימי
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu מ-Zhongfu info
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 267134
CVE-2024-23222
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: אתר אינטרנט זדוני עלול לגרום להתנהגות לא צפויה ממקורות מרובים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
הרשומה נוספה ב-24 באפריל 2024
תודות נוספות
NetworkExtension
אנחנו מבקשים להודות ל-Nils Rollshausen על הסיוע.
הרשומה נוספה ב-24 באפריל 2024
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.