Mengenai konten keamanan tvOS 16.4

Dokumen ini menjelaskan konten keamanan tvOS 16.4.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman Pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

tvOS 16.4

AppleMobileFileIntegrity

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Pengguna mungkin dapat mengakses bagian yang dilindungi dari sistem file

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-23527: Mickey Jin (@patch1t)

ColorSync

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat membaca file arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-27955: JeongOhKyea

Core Bluetooth

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Memproses paket Bluetooth perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-23528: Jianjun Dai dan Guang Gong dari 360 Vulnerability Research Institute

CoreCapture

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-28181: Tingting Yin dari Tsinghua University

FontParser

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-27956: Ye Zhang dari Baidu Security

Foundation

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Menguraikan plist perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.

CVE-2023-27937: peneliti anonim

Identity Services

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat mengakses informasi mengenai kontak pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2023-27928: Csaba Fitzl (@theevilbit) dari Offensive Security

ImageIO

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-23535: ryuzaki

ImageIO

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab dan jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Memproses gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2023-42862: Meysam Firouzi @R00tkitSMM

CVE-2023-42865: jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro, dan Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab

Entri ditambahkan pada 21 Desember 2023

Kernel

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-23536: Félix Poulin-Bélanger dan David Pan Ogea

Entri ditambahkan pada 8 Juni 2023, diperbarui pada 21 Desember 2023

Kernel

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-27969: Adam Doupé dari ASU SEFCOM

Kernel

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App dengan hak istimewa root mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-27933: sqrtpwn

Kernel

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat menyebabkan penolakan layanan

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2023-28185: Pan ZhenPeng dari STAR Labs SG Pte. Ltd.

Entri ditambahkan pada 21 Desember 2023

Podcast

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Entri ditambahkan pada 8 Juni 2023

Shortcuts

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.

CVE-2023-27963: Wenchao Li dan Xiaolong Bai dari Alibaba Group, dan Jubaer Alnazi Jabin dari TRS Group Of Companies

Entri ditambahkan pada 8 Juni 2023

TCC

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Memproses konten web perusak yang berbahaya dapat melewati Kebijakan Same Policy

Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.

WebKit Bugzilla: 248615

CVE-2023-27932: peneliti anonim

WebKit

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Suatu situs web mungkin dapat melacak informasi pengguna yang sensitif

Deskripsi: Masalah ini telah diatasi dengan menghapus informasi sumber.

WebKit Bugzilla: 250837

CVE-2023-27954: peneliti anonim

WebKit Web Inspector

Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD

Dampak: Penyerang jarak jauh dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-28201: Dohyun Lee (@l33d0hyun), dan crixer (@pwning_me) dari SSD Labs

Entri ditambahkan pada 8 Juni 2023

Ucapan terima kasih tambahan

CFNetwork

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

CoreServices

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

ImageIO

Kami ingin mengucapkan terima kasih kepada Meysam Firouzi @R00tkitSMM atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.