O sigurnosnom sadržaju sustava tvOS 16.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 16.5.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 16.5

Objavljeno 18. svibnja 2023.

Accessibility

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: prava i dozvole povezane s privatnošću dodijeljene ovoj aplikaciji možda će koristiti zlonamjerna aplikacija

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-32400: Mickey Jin (@patch1t)

Unos dodan 5. rujna 2023.

Accounts

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: napadač bi mogao neovlašteno objaviti e-mailove korisničkih računa

Opis: problem s dozvolama riješen je poboljšanim redigiranjem osjetljivih podataka.

CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)

Unos dodan 5. rujna 2023.

AppleMobileFileIntegrity

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2023-32411: Mickey Jin (@patch1t)

Core Location

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-32399: Adam M.

Unos ažuriran 5. rujna 2023.

CoreServices

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-28191: Mickey Jin (@patch1t)

GeoServices

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-32392: Adam M.

Unos ažuriran 5. rujna 2023.

ImageIO

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32372: Meysam Firouzi (laboratorij za inovacije @R00tkitSMM Mbition mercedes-benz u suradnji s projektom Trend Micro Zero Day Initiative)

Unos ažuriran 5. rujna 2023.

ImageIO

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak; obrada slike mogla bi izazvati izvršavanje proizvoljnog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro

IOSurfaceAccelerator

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32354: Linus Henze (Pinauten GmbH, pinauten.de)

IOSurfaceAccelerator

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili čitati kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32420: tim tvrtke CertiK SkyFall i Linus Henze (Pinauten GmbH (pinauten.de))

Unos ažuriran 5. rujna 2023.

Kernel

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2023-27930: 08Tc3wBB iz tvrtke Jamf

Kernel

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32398: Adam Doupé iz organizacije ASU SEFCOM

Kernel

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro

LaunchServices

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija može zaobići provjere alata Gatekeeper

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) iz organizacije SecuRing (wojciechregula.blog)

Unos dodan 5. rujna 2023.

MallocStackLogging

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Unos dodan 5. rujna 2023.

Metal

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: obradom 3D modela moglo bi doći do otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-32403: Adam M.

Unos ažuriran 5. rujna 2023.

NSURLSession

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanjima protokola za rukovanje datotekama.

CVE-2023-32437: Thijs Alkemade (Computest Sector 7)

Unos dodan 5. rujna 2023.

Photos

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti putem Vizualnog traženja

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-32390: Julian Szulc

Unos dodan 5. rujna 2023.

Sandbox

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)

Share Sheet

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.

CVE-2023-32432: Kirin (@Pwnrin)

Unos dodan 5. rujna 2023.

Shortcuts

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-32391: Wenchao Li i Xiaolong Bai (Alibaba Group)

Unos dodan 5. rujna 2023.

Shortcuts

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2023-32404: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab (xlab.tencent.com)), Mickey Jin (@patch1t) i anonimni istraživač.

Unos dodan 5. rujna 2023.

Siri

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: osoba s fizičkim pristupom uređaju mogla bi pristupiti kontaktima sa zaključanog zaslona

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-32394: Khiem Tran

SQLite

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj je problem riješen dodavanjem dodatnih ograničenja za izradu SQLite zapisnika

CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła (SecuRing) (wojciechregula.blog)

Unos je ažuriran 2. lipnja 2023.

StorageKit

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: postavke vatrozida neke aplikacije možda neće funkcionirati nakon što izađete iz aplikacije Postavke

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-28202: Satish Panduranga i anonimni istraživač

Telephony

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32412: Ivan Fratric iz tima Project Zero tvrtke Google

TV App

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-32408: Adam M.

Weather

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-32415: Wojciech Regula iz tvrtke SecuRing (wojciechregula.blog) i Adam M.

Unos je ažuriran 16. srpnja 2024.

WebKit

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 255075

CVE-2023-32402: Ignacio Sanmillan (@ulexec)

Unos je ažuriran 21. prosinca 2023.

WebKit

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 254781

CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem je riješen poboljšanim provjerama ograničenja.

WebKit Bugzilla: 255350

CVE-2023-32409: Clément Lecigne (Googleova grupa za analizu prijetnji) i Donncha Ó Cearbhaill (sigurnosni odjel organizacije Amnesty International)

WebKit

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 254930

CVE-2023-28204: anonimni istraživač

WebKit

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 254840

CVE-2023-32373: anonimni istraživač

Wi-Fi

Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)

Dodatna zahvala

Accounts

Zahvaljujemo Sergiiju Kryvoblotskyiju (MacPaw Inc.) na pomoći.

CFNetwork

Željeli bismo zahvaliti Gabrielu Geraldinu de Souzi na pomoći.

Unos je dodan 16. srpnja 2024.

CloudKit

Zahvaljujemo Iconicu na pomoći.

libxml2

Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.

Reminders

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Security

Zahvaljujemo Brandonu Tomsu na pomoći.

Share Sheet

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Wallet

Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.

Wi-Fi

Na pomoći zahvaljujemo Adamu M.

Unos dodan 21. prosinca 2023.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: