Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
tvOS 16.4
Dirilis pada 27 Maret 2023
AppleMobileFileIntegrity
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Pengguna mungkin dapat mengakses bagian yang dilindungi dari sistem file
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat membaca file arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-27955: JeongOhKyea
Entri ditambahkan pada 8 Juni 2023
Core Bluetooth
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses paket Bluetooth perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-23528: Jianjun Dai dan Guang Gong dari 360 Vulnerability Research Institute
CoreCapture
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-28181: Tingting Yin dari Tsinghua University
FontParser
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-27956: Ye Zhang dari Baidu Security
Foundation
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Menguraikan plist perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2023-27937: peneliti anonim
Identity Services
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengakses informasi mengenai kontak pengguna
Deskripsi: Masalah privasi telah diatasi dengan redaksi data pribadi yang ditingkatkan untuk entri log.
CVE-2023-27928: Csaba Fitzl (@theevilbit) dari Offensive Security
ImageIO
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-23535: ryuzaki
ImageIO
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab dan jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses gambar dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro, dan Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab
Entri ditambahkan pada 21 Desember 2023
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-23536: Félix Poulin-Bélanger dan David Pan Ogea
Entri ditambahkan pada 8 Juni 2023, diperbarui pada 21 Desember 2023
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2023-27969: Adam Doupé dari ASU SEFCOM
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App dengan hak istimewa root mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-27933: sqrtpwn
Kernel
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat menyebabkan penolakan layanan
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2023-28185: Pan ZhenPeng dari STAR Labs SG Pte. Ltd.
Entri ditambahkan pada 21 Desember 2023
Podcasts
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Entri ditambahkan pada 8 Juni 2023
Shortcuts
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.
CVE-2023-27963: Wenchao Li dan Xiaolong Bai dari Alibaba Group, dan Jubaer Alnazi Jabin dari TRS Group Of Companies
Entri ditambahkan pada 8 Juni 2023
TCC
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Memproses konten web perusak yang berbahaya dapat melewati Kebijakan Same Policy
Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.
WebKit Bugzilla: 248615
CVE-2023-27932: peneliti anonim
WebKit
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Suatu situs web mungkin dapat melacak informasi pengguna yang sensitif
Deskripsi: Masalah ini telah diatasi dengan menghapus informasi sumber.
WebKit Bugzilla: 250837
CVE-2023-27954: peneliti anonim
WebKit Web Inspector
Tersedia untuk: Apple TV 4K (semua model) dan Apple TV HD
Dampak: Penyerang jarak jauh dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), dan crixer (@pwning_me) dari SSD Labs
Entri ditambahkan pada 8 Juni 2023
Ucapan terima kasih tambahan
CFNetwork
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
CoreServices
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.
ImageIO
Kami ingin mengucapkan terima kasih kepada Meysam Firouzi @R00tkitSMM atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.