Informazioni sui contenuti di sicurezza di tvOS 16.4
In questo documento vengono descritti i contenuti di sicurezza di tvOS 16.4.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
tvOS 16.4
Rilasciato il 27 marzo 2023
AppleMobileFileIntegrity
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un utente può ottenere l'accesso a parti protette del file system.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe leggere file arbitrari
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27955: JeongOhKyea
Voce aggiunta il 8 giugno 2023
Core Bluetooth
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: l'elaborazione di un pacchetto Bluetooth dannoso potrebbe causare la divulgazione della memoria dei processi
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2023-23528: Jianjun Dai e Guang Gong del 360 Vulnerability Research Institute
CoreCapture
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-28181: Tingting Yin della Tsinghua University
FontParser
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27956: Ye Zhang di Baidu Security
Foundation
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: l'elaborazione di un file font dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27937: un ricercatore anonimo
Identity Services
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe accedere alle informazioni sui contatti di un utente
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-27928: Csaba Fitzl (@theevilbit) di Offensive Security
ImageIO
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-23535: ryuzaki
ImageIO
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab e jzhu working con Trend Micro Zero Day Initiative
ImageIO
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu in collaborazione con Zero Day Initiative di Trend Micro e Meysam Firouzi (@R00tkitSMM) di Mbition Mercedes-Benz Innovation Lab
Voce aggiunta il 21 dicembre 2023
Kernel
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-23536: Félix Poulin-Bélanger e David Pan Ogea
Voce aggiunta l'8 giugno 2023 e aggiornata il 21 dicembre 2023
Kernel
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-27969: Adam Doupé di ASU SEFCOM
Kernel
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-27933: sqrtpwn
Kernel
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe causare l'interruzione del servizio.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2023-28185: Pan ZhenPeng di STAR Labs SG Pte. Ltd.
Voce aggiunta il 21 dicembre 2023
Podcast
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Voce aggiunta il 8 giugno 2023
Shortcuts
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un comando rapido può essere in grado di utilizzare dati sensibili con determinate azioni senza richiedere l'autorizzazione dell'utente.
Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.
CVE-2023-27963: Wenchao Li e Xiaolong Bai di Alibaba Group e Jubaer Alnazi Jabin di TRS Group Of Companies
Voce aggiunta il 8 giugno 2023
TCC
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 248615
CVE-2023-27932: un ricercatore anonimo
WebKit
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un sito web potrebbe essere in grado di tenere traccia delle informazioni sensibili degli utenti.
Descrizione: il problema è stato risolto rimuovendo le informazioni sull'origine.
WebKit Bugzilla: 250837
CVE-2023-27954: un ricercatore anonimo
WebKit Web Inspector
Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) e crixer (@pwning_me) di SSD Labs
Voce aggiunta il 8 giugno 2023
Altri riconoscimenti
CFNetwork
Ringraziamo un ricercatore anonimo per l'assistenza.
CoreServices
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
ImageIO
Ringraziamo Meysam Firouzi @R00tkitSMM per l'assistenza.
WebKit
Ringraziamo un ricercatore anonimo per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.