מידע על תוכן האבטחה של tvOS 17.2
מסמך זה מתאר את תוכן האבטחה של tvOS 17.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
tvOS 17.2
הופץ ב‑11 בדצמבר 2023
AVEVideoEncoder
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42884: חוקר אנונימי
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42898: Zhenjiang Zhao of Pangu Team, Qianxin and Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM ו-Junsung Lee
הערך עודכן ב‑22 מרץ 2024
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) מ-Synacktiv (@Synacktiv)
Libsystem
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.
CVE-2023-42893
הרשומה נוספה ב‑22 במרץ 2024
Sandbox
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42936: Csaba Fitzl (@theevilbit) מ-OffSec
הרשומה נוספה ב-22 במרץ 2024, עודכנה ב-16 ביולי 2024
TCC
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2023-42947: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong
הרשומה נוספה ב‑22 במרץ 2024
Transparency
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.
CVE-2023-40389: Csaba Fitzl (@theevilbit) מ-Offensive Security ו-Joshua Jewett (@JoshJewett33)
הרשומה נוספה ב-16 ביולי 2024
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS קודמות ל-iOS 16.7.1.
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne מ-Google Threat Analysis Group
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS קודמות ל-iOS 16.7.1.
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne מ-Threat Analysis Group ב-Google
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute and rushikesh nandedkar
הרשומה נוספה ב‑22 במרץ 2024
תודות נוספות
WebSheet
אנחנו מבקשים להודות ל-Paolo Ruggero מ-e-phors S.p.A. (A FINCANTIERI S.p.A. Company) על הסיוע.
הרשומה נוספה ב‑22 במרץ 2024
Wi-Fi
אנחנו מבקשים להודות ל-Noah Roskin-Frazee ול-Prof. J. (ZeroClicks.ai Lab) על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.