Mengenai konten keamanan tvOS 16.3
Dokumen ini menjelaskan konten keamanan tvOS 16,3.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
tvOS 16.3
Dirilis pada 24 Januari 2023
AppleMobileFileIntegrity
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan untuk mencegah tindakan tidak sah.
CVE-2023-32438: Csaba Fitzl (@theevilbit) dari Offensive Security dan Mickey Jin (@patch1t)
Entri ditambahkan pada 5 September 2023
AppleMobileFileIntegrity
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan mengaktifkan hardened runtime.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) dari SecuRing (wojciechregula.blog)
Crash Reporter
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Pengguna mungkin dapat membaca file arbitrer sebagai root
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2023-23520: Cees Elzinga
Entri ditambahkan pada 7 Juni 2023
FontParser
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses file font dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif pada versi iOS yang dirilis sebelum iOS 15.7.1.
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-41990: Apple
Entri ditambahkan pada 8 September 2023
ImageIO
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Pemrosesan gambar mungkin mengakibatkan serangan DoS (denial of service)
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM dari Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit), dan jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri diperbarui pada 5 September 2023
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App dapat membocorkan status kernel yang bersifat rahasia
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat menentukan tata letak memori kernel
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan menghapus kode yang rentan.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23504: Adam Doupé dari ASU SEFCOM
Maps
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-23503: peneliti anonim
Safari
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Membuka situs web dapat mengakibatkan penolakan layanan oleh app
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-23512: Adriatik Raci
Weather
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23511: Wojciech Regula dari SecuRing (wojciechregula.blog), peneliti anonim
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Entri ditambahkan pada 28 Juni 2023
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Dokumen HTML mungkin dapat merender iframe dengan informasi sensitif pengguna
Deskripsi: Masalah ini diatasi dengan pemberlakuan sandbox iframe yang ditingkatkan.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Entri ditambahkan pada 7 Juni 2023
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren dan Hang Shu dari Institute of Computing Technology, Chinese Academy of Sciences
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) dari Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) dari Team ApplePIE
Ucapan terima kasih tambahan
Core Data
Kami ingin mengucapkan terima kasih kepada Austin Emmitt (@alkalinesec), Peneliti Keamanan Senior di Trellix Advanced Research Center, atas bantuannya.
Entri ditambahkan pada 8 September 2023
Kernel
Kami ingin mengucapkan terima kasih kepada Nick Stenning dari Replicate atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Eliya Stein dari Confiant atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.