Informazioni sui contenuti di sicurezza di tvOS 16.4

In questo documento vengono descritti i contenuti di sicurezza di tvOS 16.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 16.4

AppleMobileFileIntegrity

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un utente può ottenere l'accesso a parti protette del file system.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-23527: Mickey Jin (@patch1t)

ColorSync

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe leggere file arbitrari

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-27955: JeongOhKyea

Core Bluetooth

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di un pacchetto Bluetooth dannoso potrebbe causare la divulgazione della memoria dei processi

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2023-23528: Jianjun Dai e Guang Gong del 360 Vulnerability Research Institute

CoreCapture

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-28181: Tingting Yin della Tsinghua University

FontParser

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-27956: Ye Zhang di Baidu Security

Foundation

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di un file font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-27937: un ricercatore anonimo

Identity Services

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2023-27928: Csaba Fitzl (@theevilbit) di Offensive Security

ImageIO

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-23535: ryuzaki

ImageIO

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab e jzhu working con Trend Micro Zero Day Initiative

ImageIO

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2023-42862: Meysam Firouzi @R00tkitSMM

CVE-2023-42865: jzhu in collaborazione con Zero Day Initiative di Trend Micro e Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab

Voce aggiunta il 21 dicembre 2023

Kernel

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea

Voce aggiunta l'8 giugno 2023 e aggiornata il 21 dicembre 2023

Kernel

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2023-27969: Adam Doupé di ASU SEFCOM

Kernel

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-27933: sqrtpwn

Kernel

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe causare l'interruzione del servizio.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd.

Voce aggiunta il 21 dicembre 2023

Podcast

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Voce aggiunta il 8 giugno 2023

Shortcuts

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2023-27963: Wenchao Li e Xiaolong Bai di Alibaba Group e Jubaer Alnazi Jabin di TRS Group Of Companies

Voce aggiunta il 8 giugno 2023

TCC

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 248615

CVE-2023-27932: un ricercatore anonimo

WebKit

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un sito web potrebbe essere in grado di tenere traccia delle informazioni sensibili degli utenti.

Descrizione: il problema è stato risolto rimuovendo le informazioni sull'origine.

WebKit Bugzilla: 250837

CVE-2023-27954: un ricercatore anonimo

WebKit Web Inspector

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-28201: Dohyun Lee (@l33d0hyun) e crixer (@pwning_me) di SSD Labs

Voce aggiunta il 8 giugno 2023

Altri riconoscimenti

CFNetwork

Ringraziamo un ricercatore anonimo per l'assistenza.

CoreServices

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

ImageIO

Ringraziamo Meysam Firouzi @R00tkitSMM per l'assistenza.

WebKit

Ringraziamo un ricercatore anonimo per l'assistenza.