Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 17.4
Objavljeno 7. ožujka 2024.
Accessibility
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerna aplikacija mogla bi imati uvid u korisničke podatke u unosima zapisnika koji se odnose na obavijesti o pristupačnosti
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23291
AppleMobileFileIntegrity
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-23288: Wojciech Regula (SecuRing (wojciechregula.blog)) i Kirin (@Pwnrin)
CoreBluetooth - LE
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti mikrofonima povezanim Bluetoothom bez dopuštenja korisnika
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)
file
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-48554
Image Processing
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23270: anonimni istraživač
ImageIO
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-23235
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogla bi zaobići zaštitu kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23225
libxpc
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23278: anonimni istraživač
libxpc
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-0258: ali yabuz
MediaRemote
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23297: scj643
Metal
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s timom projekta Zero Day Initiative (Trend Micro)
RTKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogla bi zaobići zaštitu kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23296
Sandbox
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2024-23290: Wojciech Reguła (SecuRing, wojciechregula.blog)
Siri
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-23293: Bistrit Dahal
Spotlight
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-23241
UIKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti.
WebKit Bugzilla: 266703
CVE-2024-23280: anonimni istraživa
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber i Marco Squarcina
Dodatna zahvala
CoreAnimation
Na pomoći zahvaljujemo Junsungu Leeju.
CoreMotion
Na pomoći zahvaljujemo Ericu Dorphyju (Twin Cities App Dev LLC).
Kernel
Na pomoći zahvaljujemo Tarku Joumaau (@tjkr0wn).
libxml2
Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.
libxpc
Na pomoći zahvaljujemo Rasmusu Stenu, F-Secure (Mastodon: @pajp@blog.dll.nu) i anonimnom istraživaču.
Photos
Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.
Power Management
Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd.
Sandbox
Na pomoći zahvaljujemo Zhongquanu Liju (@Guluisacat).
Siri
Na pomoći zahvaljujemo Bistritu Dahalu.
Software Update
Na pomoći zahvaljujemo Binu Zhangu (Dublin City University).
WebKit
Na pomoći zahvaljujemo Nanu Wangu (@eternalsakura13) s instituta 360 Vulnerability Research Institute te Valentinu Dalla Valleu, Pedru Bernardu, Marcu Squarcini i Lorenzu Veroneseu (TU Wien).