Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
tvOS 17
Dirilis pada 18 September 2023
AirPort
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah izin telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2023-40384: Adam M.
App Store
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Penyerang jarak jauh mungkin dapat keluar dari sandbox Konten Web
Deskripsi: Masalah ini telah diatasi dengan penanganan protokol yang ditingkatkan.
CVE-2023-40448: w0wbox
Apple Neural Engine
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) dari Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2023-40410: Tim Michaud (@TimGMichaud) dari Moveworks.ai
AuthKit
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-32361: Csaba Fitzl (@theevilbit) dari Offensive Security
Bluetooth
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Penyerang dengan jarak fisik yang dekat dapat menyebabkan penulisan di luar batas yang terbatas
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-35984: zer0k
bootp
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2023-41065: Adam M., serta Noah Roskin-Frazee dan Profesor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin gagal menerapkan App Transport Security
Deskripsi: Masalah ini telah diatasi dengan penanganan protokol yang ditingkatkan.
CVE-2023-38596: Will Brattain di Trail of Bits
CoreAnimation
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Pemrosesan konten web dapat menyebabkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40420: 이준성 (Junsung Lee) dari Cross Republic
Core Data
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2023-40528: Kirin (@Pwnrin) dari NorthSea
Entri ditambahkan tanggal 22 Januari 2024
Dev Tools
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengakses kontak
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-40395: Csaba Fitzl (@theevilbit) dari Offensive Security
GPU Drivers
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40391: Antonio Zekic (@antoniozekic) dari Dataflow Security
Kernel
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-41981: Linus Henze dari Pinauten GmbH (pinauten.de)
Kernel
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd.
Kernel
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.
CVE-2023-40429: Michael (Biscuit) Thomas dan 张师傅 (@京东蓝军)
libpcap
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Pengguna dari jarak jauh dapat mengakibatkan app berhenti tiba-tiba atau kode arbitrer dieksekusi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-40400: Sei K.
libxpc
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat menghapus file meskipun tidak memiliki izin untuk menghapusnya
Deskripsi: Masalah izin telah diatasi dengan pembatasan tambahan.
CVE-2023-40454: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengakses data pengguna yang dilindungi
Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2023-41073: Zhipeng Huo (@R3dF09) dari Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Pemrosesan konten web dapat mengakibatkan pengungkapan informasi sensitif
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) dari PK Security
Maps
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-40427: Adam M., dan Wojciech Regula dari SecuRing (wojciechregula.blog)
MobileStorageMounter
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Pengguna mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah akses telah diatasi dengan pembatasan akses yang ditingkatkan.
CVE-2023-41068: Mickey Jin (@patch1t)
Photos Storage
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengakses editan foto yang disimpan di direktori sementara
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Pro Res
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-41063: Tim Certik Skyfall
Sandbox
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat menimpa file arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Simulator
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: App mungkin dapat membaca file arbitrer
Deskripsi: Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
WebKit
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성 (Junsung Lee) dari Cross Republic dan Jie Ding (@Lime) dari HKUS3 Lab
Entri diperbarui pada 22 Desember 2023
WebKit
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim (@smlijun) dan Jong Seong Kim (@nevul37)
Entri diperbarui pada 22 Desember 2023
WebKit
Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Entri ditambahkan pada 22 Desember 2023
Ucapan terima kasih tambahan
Airport
Kami ingin mengucapkan terima kasih kepada Adam M., serta Noah Roskin-Frazee dan Profesor Jason Lau (ZeroClicks.ai Lab) atas bantuannya.
AppSandbox
Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.
Audio
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.
Bluetooth
Kami ingin mengucapkan terima kasih kepada Jianjun Dai dan Guang Gong dari 360 Vulnerability Research Institute atas bantuannya.
Control Center
Kami ingin mengucapkan terima kasih kepada Chester van den Bogaard atas bantuannya.
Kernel
Kami ingin mengucapkan terima kasih kepada Bill Marczak dari The Citizen Lab di Munk School The University of Toronto, Maddie Stone dari Threat Analysis Group di Google, dan 永超 王 atas bantuannya.
libxml2
Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, Ned Williamson dari Google Project Zero atas bantuannya.
libxpc
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
libxslt
Kami ingin mengucapkan terima kasih kepada Dohyun Lee (@l33d0hyun) dari PK Security, OSS-Fuzz, dan Ned Williamson dari Google Project Zero atas bantuannya.
NSURL
Kami ingin mengucapkan terima kasih kepada Zhanpeng Zhao (行之) dan 糖豆爸爸 (@晴天组织) atas bantuannya.
Photos
Kami ingin mengucapkan terima kasih kepada Dawid Pałuska dan Kirin (@Pwnrin) atas bantuannya.
Photos Storage
Kami ingin mengucapkan terima kasih kepada Wojciech Regula dari SecuRing (wojciechregula.blog) atas bantuannya.
Power Services
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.
Shortcuts
Kami ingin mengucapkan terima kasih kepada Alfie CG, Christian Basting dari Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi dari Grup Perusahaan TRS, KRISHAN KANT DWIVEDI (@xenonx7), dan Matthew Butler atas bantuannya.
Entri diperbarui pada 24 April 2024
Software Update
Kami ingin mengucapkan terima kasih kepada Omar Siman atas bantuannya.
Spotlight
Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College Of Technology Bhopal dan Dawid Pałuska atas bantuannya.
StorageKit
Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Khiem Tran, Narendra Bhati dari Suma Soft Pvt. Ltd., dan peneliti anonim atas bantuannya.
Wi-Fi
Kami ingin mengucapkan terima kasih kepada Wang Yu dari Cyberserval atas bantuannya.