מידע על תוכן האבטחה של tvOS 17.2

מסמך זה מתאר את תוכן האבטחה של tvOS 17.2.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

tvOS 17.2

הופץ ב‑11 בדצמבר 2023

AVEVideoEncoder

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42884: חוקר אנונימי

ImageIO

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42898‏: Zhenjiang Zhao of Pangu Team, Qianxin and Junsung Lee

CVE-2023-42899‏: Meysam Firouzi @R00tkitSMM ו-Junsung Lee

הערך עודכן ב‑22 מרץ 2024

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42914‏: Eloi Benoist-Vanderbeken‏ (‎@elvanderb) מ-Synacktiv‏ (‎@Synacktiv)

Libsystem

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.

CVE-2023-42893

הרשומה נוספה ב‑22 במרץ 2024

Sandbox

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42936

הרשומה נוספה ב‑22 במרץ 2024

TCC

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2023-42947‏: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong

הרשומה נוספה ב‑22 במרץ 2024

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 259830
CVE-2023-42890:‏ Pwn2car

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 263349
CVE-2023-42883‏: Zoom Offensive Security Team

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS קודמות ל-iOS 16.7.1.

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla‏: 265041
CVE-2023-42916: ‏Clément Lecigne מ-Google Threat Analysis Group

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS קודמות ל-iOS 16.7.1.

תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.

WebKit Bugzilla‏: 265067
CVE-2023-42917‏: Clément Lecigne מ-Threat Analysis Group ב-Google

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

WebKit Bugzilla‏: 263682
CVE-2023-42950‏: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute and rushikesh nandedkar

הרשומה נוספה ב‑22 במרץ 2024

 

תודות נוספות

WebSheet

אנחנו מבקשים להודות ל-Paolo Ruggero מ-e-phors S.p.A. (A FINCANTIERI S.p.A. Company) על הסיוע.

הרשומה נוספה ב‑22 במרץ 2024

Wi-Fi

אנחנו מבקשים להודות ל-Noah Roskin-Frazee ול-Prof. J.‎ ‏(ZeroClicks.ai Lab) על הסיוע.

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: