Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 16.5
Objavljeno 18. svibnja 2023.
Accessibility
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: prava i dozvole povezane s privatnošću dodijeljene ovoj aplikaciji možda će koristiti zlonamjerna aplikacija
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-32400: Mickey Jin (@patch1t)
Unos dodan 5. rujna 2023.
Accounts
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: napadač bi mogao neovlašteno objaviti e-mailove korisničkih računa
Opis: problem s dozvolama riješen je poboljšanim redigiranjem osjetljivih podataka.
CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)
Unos dodan 5. rujna 2023.
AppleMobileFileIntegrity
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32411: Mickey Jin (@patch1t)
Core Location
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32399: Adam M.
Unos ažuriran 5. rujna 2023.
CoreServices
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32392: Adam M.
Unos ažuriran 5. rujna 2023.
ImageIO
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32372: Meysam Firouzi (laboratorij za inovacije @R00tkitSMM Mbition mercedes-benz u suradnji s projektom Trend Micro Zero Day Initiative)
Unos ažuriran 5. rujna 2023.
ImageIO
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
IOSurfaceAccelerator
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32354: Linus Henze (Pinauten GmbH, pinauten.de)
IOSurfaceAccelerator
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32420: tim tvrtke CertiK SkyFall i Linus Henze (Pinauten GmbH (pinauten.de))
Unos ažuriran 5. rujna 2023.
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2023-27930: 08Tc3wBB (Jamf)
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
Kernel
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
LaunchServices
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) (SecuRing) (wojciechregula.blog)
Unos dodan 5. rujna 2023.
MallocStackLogging
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Unos dodan 5. rujna 2023.
Metal
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom 3D modela može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32403: Adam M.
Unos ažuriran 5. rujna 2023.
NSURLSession
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanjima protokola za rukovanje datotekama.
CVE-2023-32437: Thijs Alkemade (Computest Sector 7)
Unos dodan 5. rujna 2023.
Photos
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti putem Vizualnog traženja
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32390: Julian Szulc
Unos dodan 5. rujna 2023.
Sandbox
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)
Share Sheet
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2023-32432: Kirin (@Pwnrin)
Unos dodan 5. rujna 2023.
Shortcuts
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32391: Wenchao Li i Xiaolong Bai (Alibaba Group)
Unos dodan 5. rujna 2023.
Shortcuts
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32404: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab (xlab.tencent.com)), Mickey Jin (@patch1t) i anonimni istraživač.
Unos dodan 5. rujna 2023.
Siri
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: osoba s fizičkim pristupom uređaju mogla bi pristupiti kontaktima sa zaključanog zaslona
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32394: Khiem Tran
SQLite
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen dodavanjem dodatnih ograničenja za izradu SQLite zapisnika
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła (SecuRing) (wojciechregula.blog)
Unos je ažuriran 2. lipnja 2023.
StorageKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: postavke vatrozida neke aplikacije možda neće funkcionirati nakon što izađete iz aplikacije Postavke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-28202: Satish Panduranga i anonimni istraživač
Telephony
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32408: Adam M.
Weather
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32415: Wojciech Regula (SecuRing) (wojciechregula.blog), anonimni istraživač
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 255075
CVE-2023-32402: anonimni istraživač
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Googleova grupa za analizu prijetnji) i Donncha Ó Cearbhaill (sigurnosni odjel organizacije Amnesty International)
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 254930
CVE-2023-28204: anonimni istraživač
WebKit
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 254840
CVE-2023-32373: anonimni istraživač
Wi-Fi
Dostupno za: Apple TV 4K (svi modeli) i Apple TV HD
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)
Dodatna zahvala
Accounts
Zahvaljujemo Sergiiju Kryvoblotskyiju (MacPaw Inc.) na pomoći.
CloudKit
Zahvaljujemo Iconicu na pomoći.
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
Reminders
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Security
Zahvaljujemo Brandonu Tomsu na pomoći.
Share Sheet
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Wallet
Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.