Mengenai konten keamanan tvOS 16.5
Dokumen ini menjelaskan konten keamanan tvOS 16.5.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
tvOS 16.5
Dirilis pada 18 Mei 2023
Accessibility
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Hak dan izin privasi yang diberikan ke app ini dapat digunakan oleh app berbahaya
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32400: Mickey Jin (@patch1t)
Entri ditambahkan pada 5 September 2023
Accounts
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Penyerang mungkin dapat membocorkan email akun pengguna
Deskripsi: Masalah izin telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2023-34352: Sergii Kryvoblotskyi dari MacPaw Inc.
Entri ditambahkan pada 5 September 2023
AppleMobileFileIntegrity
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2023-32411: Mickey Jin (@patch1t)
Core Location
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-32399: Adam M.
Entri diperbarui pada 5 September 2023
CoreServices
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2023-32392: Adam M.
Entri diperbarui pada 5 September 2023
ImageIO
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses gambar dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM dari Mbition Mercedes-Benz Innovation yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Entri diperbarui pada 5 September 2023
ImageIO
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses gambar dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm yang bekerja sama dengan Zero Day Initiative dari Trend Micro
IOSurfaceAccelerator
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32354: Linus Henze dari Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App dapat mengakibatkan sistem terhenti tiba-tiba atau membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32420: CertiK SkyFall Team dan Linus Henze dari Pinauten GmbH (pinauten.de)
Entri diperbarui pada 5 September 2023
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-27930: 08Tc3wBB dari Jamf
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2023-32398: Adam Doupé dari ASU SEFCOM
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) dari Synacktiv (@Synacktiv) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
LaunchServices
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) dari SecuRing (wojciechregula.blog)
Entri ditambahkan pada 5 September 2023
MallocStackLogging
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Masalah ini telah diatasi dengan penanganan file yang ditingkatkan.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Entri ditambahkan pada 5 September 2023
Metal
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses model 3D dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyuntingan informasi sensitif yang ditingkatkan.
CVE-2023-32403: Adam M.
Entri diperbarui pada 5 September 2023
NSURLSession
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat keluar dari sandbox
Deskripsi: Masalah ini telah diatasi dengan peningkatan terhadap protokol penanganan file.
CVE-2023-32437: Thijs Alkemade dari Computest Sector 7
Entri ditambahkan pada 5 September 2023
Photos
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Foto di dalam Album Foto Tersembunyi dapat dilihat tanpa autentikasi melalui Cari Tahu Visual
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32390: Julian Szulc
Entri ditambahkan pada 5 September 2023
Sandbox
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat menyimpan akses ke file konfigurasi sistem meski izinnya telah dicabut
Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa dari FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com), dan Csaba Fitzl (@theevilbit) dari Offensive Security
Share Sheet
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang ditingkatkan.
CVE-2023-32432: Kirin (@Pwnrin)
Entri ditambahkan pada 5 September 2023
Shortcuts
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32391: Wenchao Li dan Xiaolong Bai dari Alibaba Group
Entri ditambahkan pada 5 September 2023
Shortcuts
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2023-32404: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com), Mickey Jin (@patch1t), dan peneliti anonim
Entri ditambahkan pada 5 September 2023
Siri
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Orang dengan akses fisik ke perangkat mungkin dapat melihat informasi kontak dari layar terkunci
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32394: Khiem Tran
SQLite
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan menambahkan pembatasan pencatatan SQLite tambahan.
CVE-2023-32422: Gergely Kalman (@gergely_kalman), dan Wojciech Reguła dari SecuRing (wojciechregula.blog)
Entri diperbarui pada 2 Juni 2023
StorageKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah ini telah diatasi dengan penetapan hak yang ditingkatkan.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Pengaturan firewall app mungkin tidak diterapkan setelah keluar dari app Pengaturan
Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-28202: Satish Panduranga dan peneliti anonim
Telephony
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Penyerang jarak jauh dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2023-32412: Ivan Fratric dari Google Project Zero
TV App
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-32408: Adam M.
Weather
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyuntingan informasi sensitif yang ditingkatkan.
CVE-2023-32415: Wojciech Regula dari SecuRing (wojciechregula.blog) dan Adam M.
Entri diperbarui pada 16 Juli 2024
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses konten web dapat mengungkapkan informasi sensitif
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Entri diperbarui pada 21 Desember 2023
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses konten web dapat mengungkapkan informasi sensitif
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Penyerang jarak jauh mungkin dapat lolos dari sandbox Konten Web. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne dari Grup Analisis Ancaman di Google dan Donncha Ó Cearbhaill dari Lab Keamanan di Amnesty International
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses konten web dapat mengungkapkan informasi sensitif. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
WebKit Bugzilla: 254930
CVE-2023-28204: peneliti anonim
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
WebKit Bugzilla: 254840
CVE-2023-32373: peneliti anonim
Wi-Fi
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd.
Ucapan terima kasih tambahan
Accounts
Kami ingin mengucapkan terima kasih kepada Sergii Kryvoblotskyi dari MacPaw Inc. atas bantuannya.
CFNetwork
Kami ingin mengucapkan terima kasih kepada Gabriel Geraldino de Souza atas bantuannya.
Entri ditambahkan 16 Juli 2024
CloudKit
Kami ingin mengucapkan terima kasih kepada Iconic atas bantuannya.
libxml2
Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, dan Ned Williamson dari Google Project Zero atas bantuannya.
Reminders
Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.
Security
Kami ingin mengucapkan terima kasih kepada Brandon Toms atas bantuannya.
Share Sheet
Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.
Wallet
Kami ingin mengucapkan terima kasih kepada James Duffy (mangoSecure) atas bantuannya.
Wi-Fi
Kami ingin mengucapkan terima kasih kepada Adam M. atas bantuannya.
Entri ditambahkan pada 21 Desember 2023
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.