O sigurnosnom sadržaju sustava tvOS 16.4
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 16,4.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 16.4
Objavljeno 27. ožujka 2023.
AppleMobileFileIntegrity
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: korisnik bi mogao ostvariti pristup zaštićenim dijelovima datotečnog sustava
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-27955: JeongOhKyea
Unos je dodan 8. lipnja 2023.
Core Bluetooth
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom zlonamjernog Bluetooth paketa može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-23528: Jianjun Dai i Guang Gong (360 Vulnerability Research Institute)
CoreCapture
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-28181: Tingting Yin (Sveučilište Tsinghua)
FontParser
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-27956: Ye Zhang (Baidu Security)
Foundation
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: raščlanjivanje zlonamjerne plist datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27937: anonimni istraživač
Identity Services
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-27928: Csaba Fitzl (@theevilbit) (Offensive Security)
ImageIO
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23535: ryuzaki
ImageIO
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab) i jzhu (Trend Micro Zero Day Initiative)
ImageIO
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu koji radi s Trend Micro Zero Day Initiative i Meysam Firouzi (@R00tkitSMM) iz tvrtke Mbition Mercedes-Benz Innovation Lab
Unos je dodan 21. prosinca 2023.
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea
Unos je dodan 8. lipnja, 2023., a ažuriran 21. prosinca 2023.
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-27933: sqrtpwn
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)
Unos je dodan 21. prosinca 2023.
Podcasti
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos je dodan 8. lipnja 2023.
Shortcuts
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2023-27963: Wenchao Li i Xiaolong Bai (Alibaba Group) i Jubaer Alnazi Jabin (TRS Group Of Companies)
Unos je dodan 8. lipnja 2023.
TCC
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može se zaobići pravilo istog podrijetla
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 248615
CVE-2023-27932: anonimni istraživač
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: web-mjesto moglo bi pratiti osjetljive korisničke podatke
Opis: problem je riješen uklanjanjem podataka o izvoru.
WebKit Bugzilla: 250837
CVE-2023-27954: anonimni istraživač
WebKit Web Inspector
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) i crixer (@pwning_me) (SSD Labs)
Unos je dodan 8. lipnja 2023.
Dodatna zahvala
CFNetwork
Na pomoći zahvaljujemo anonimnom istraživaču.
CoreServices
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
ImageIO
Na pomoći zahvaljujemo Meysamu Firouziju (@R00tkitSMM).
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.