מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
tvOS 17
הופץ ב-18 בספטמבר 2023
AirPort
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית הרשאות טופלה באמצעות עריכה משופרת של מידע רגיש.
CVE-2023-40384: Adam M.
App Store
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח לצאת מארגז חול של תוכן אינטרנט
תיאור: הבעיה טופלה באמצעות טיפול משופר בפרוטוקולים.
CVE-2023-40448: w0wbox
Apple Neural Engine
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) מ-Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-40410: Tim Michaud (@TimGMichaud) מ-Moveworks.ai
AuthKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-32361: Csaba Fitzl (@theevilbit) מ-Offensive Security
Bluetooth
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף שנמצא בקרבה פיזית יכול לגרום לכתיבה מוגבלת מחוץ לטווח
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-35984: zer0k
bootp
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-41065: Adam M. וגם Noah Roskin-Frazee ו-Professor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להיכשל באכיפה של מערך האבטחה App Transport Security
תיאור: הבעיה טופלה באמצעות טיפול משופר בפרוטוקולים.
CVE-2023-38596: Will Brattain מ-Trail of Bits
CoreAnimation
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40420: 이준성(Junsung Lee) מ-Cross Republic
Core Data
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-40528: Kirin (@Pwnrin) מ-NorthSea
הרשומה נוספה ב‑22 בינואר 2024
Dev Tools
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לאנשי הקשר
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40395: Csaba Fitzl (@theevilbit) מ-Offensive Security
GPU Drivers
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40391: Antonio Zekic (@antoniozekic) מ-Dataflow Security
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41981: Linus Henze מ-Pinauten GmbH (pinauten.de)
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית הרשאות טופלה באמצעות אימות משופר.
CVE-2023-40429: Michael (Biscuit) Thomas ו-张师傅(@京东蓝军)
libpcap
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-40400: סיי ק.
libxpc
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח למחוק קבצים שאין לו הרשאה לגשת אליהם
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2023-40454: Zhipeng Huo (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2023-41073: Zhipeng Huo (@R3dF09) מ-Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) מ-PK Security
Maps
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40427: Adam M. ו-Wojciech Regula מ-SecuRing (wojciechregula.blog)
MobileStorageMounter
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.
CVE-2023-41068: Mickey Jin (@patch1t)
Photos Storage
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לתמונות ערוכות שנשמרו בספריה זמנית
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Pro Res
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-41063: Certik Skyfall Team
Sandbox
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח למחוק קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Simulator
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) מ-Cross Republic ו-Jie Ding(@Lime) מ-HKUS3 Lab
הרשומה עודכנה ב-22 בדצמבר 2023
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) ו-Jong Seong Kim(@nevul37)
הרשומה עודכנה ב-22 בדצמבר 2023
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
הרשומה נוספה ב‑22 בדצמבר 2023
תודות נוספות
AirPort
אנחנו מבקשים להודות ל-Adam M. וגם ל-Noah Roskin-Frazee ולפרופסור Jason Lau (ZeroClicks.ai Lab) על הסיוע.
AppSandbox
אנחנו מבקשים להודות ל-Kirin (@Pwnrin) על הסיוע.
Audio
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
Bluetooth
אנחנו מבקשים להודות ל-Jianjun Dai ול-Guang Gong מ-360 Vulnerability Research Institute על הסיוע.
Control Center
אנחנו מבקשים להודות ל-Chester van den Bogaard על הסיוע.
Kernel
אנחנו מבקשים להודות ל-Bill Marczak מ-The Citizen Lab ב-Munk School של אוניברסיטת טורונטו ו-Maddie Stone מ-Threat Analysis Group של Google ול-永超 王 על הסיוע.
libxml2
אנחנו מבקשים להודות לOSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.
libxpc
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
libxslt
אנחנו מבקשים להודות ל-Dohyun Lee (@l33d0hyun) מ-PK Security, ל-OSS-Fuzz ול-Ned Williamson מ-Google Project Zero על הסיוע.
NSURL
אנחנו מבקשים להודות ל-Zhanpeng Zhao (行之) ול-糖豆爸爸(@晴天组织) על הסיוע.
Photos
אנחנו מבקשים להודות ל-Dawid Pałuska ול-Kirin (@Pwnrin) על הסיוע.
Photos Storage
אנחנו מבקשים להודות ל-Wojciech Regula מ-SecuRing (wojciechregula.blog) על הסיוע.
Power Services
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
Shortcuts
אנחנו מבקשים להודות ל-Alfie CG, ל-Christian Basting מ-Bundesamt für Sicherheit in der Informationstechnik, ל-Cristian Dinca מבית הספר התיכון הלאומי למדעי המחשב, "Tudor Vianu", ברומניה, ל-Giorgos Christodoulidis, ל-Jubaer Alnazi מקבוצת החברות TRS, ל-KRISHAN KANT DWIVEDI (@xenonx7) ול-Matthew Butler על הסיוע.
הרשומה עודכנה ב-24 באפריל 2024
Software Update
אנחנו מבקשים להודות ל-Omar Siman על הסיוע.
Spotlight
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal ול-Dawid Pałuska על הסיוע.
StorageKit
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Khiem Tran ול-Narendra Bhati מ-Suma Soft Pvt. Ltd, ולחוקר אנונימי על הסיוע.
Wi-Fi
אנחנו מבקשים להודות ל-Wang Yu מ-Cyberserval על הסיוע.