Informacije o sigurnosnom sadržaju sustava tvOS 16.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 16.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 16.3
Objavljeno 24. siječnja 2023.
AppleMobileFileIntegrity
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.
CVE-2023-32438: Csaba Fitzl (@theevilbit) (Offensive Security) i Mickey Jin (@patch1t)
Unos dodan 5. rujna 2023.
AppleMobileFileIntegrity
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) (SecuRing) (wojciechregula.blog)
Crash Reporter
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: korisnik će možda moći čitati proizvoljne datoteke kao korijenske
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2023-23520: Cees Elzinga
Unos je dodan 7. lipnja 2023.
FontParser
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obrada datoteke fonta može dovesti do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-41990: Apple
Unos dodan 8. rujna 2023.
ImageIO
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM (Mbition Mercedes-Benz Innovation Lab), Yiğit Can YILMAZ (@yilmazcanyigit) i jzhu u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
Unos ažuriran 5. rujna 2023.
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd. (@starlabs_sg)
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla odrediti raspored elemenata kernelske memorije
Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd. (@starlabs_sg)
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23504: Adam Doupé (ASU SEFCOM)
Maps
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-23503: anonimni istraživač
Safari
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: posjećivanje web-stranice može dovesti do toga da aplikacija odbije uslugu
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-23512: Adriatik Raci
Weather
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23511: Wojciech Regula (SecuRing) (wojciechregula.blog), anonimni istraživač
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Unos dodan 28. lipnja 2023.
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: HTML dokument mogao bi obraditi iframes s osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim ojačanjem testnog okruženja za iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Unos je dodan 7. lipnja 2023.
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom zlonamjernog web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren i Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom zlonamjernog web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (tim ApplePIE)
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (tim ApplePIE)
Dodatna zahvala
Core Data
Željeli bismo zahvaliti Austinu Emmittu (@alkalinesec), višem istraživaču sigurnosti u istraživačkom centru Trellix Advanced Research Center, na pomoći.
Unos dodan 8. rujna 2023.
Kernel
Željeli bismo zahvaliti Nicku Stenningu (Replicate) na pomoći.
WebKit
Željeli bismo zahvaliti Eliyi Steinu (Confiant) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.