Informazioni sui contenuti di sicurezza di tvOS 16,3

In questo documento vengono descritti i contenuti di sicurezza di tvOS 16.3.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 16.3

Data di rilascio 24 gennaio 2023

AppleMobileFileIntegrity

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2023-32438: Csaba Fitzl (@theevilbit) di Offensive Security e Mickey Jin (@patch1t)

Voce aggiunta il 5 settembre 2023

AppleMobileFileIntegrity

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto abilitando runtime rafforzato.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) di SecuRing (wojciechregula.blog)

Crash Reporter

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un utente potrebbe riuscire a leggere file arbitrari come root.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2023-23520: Cees Elzinga

Voce aggiunta il 7 giugno 2023

FontParser

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di un file di font può causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS precedenti alla 15.7.1.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-41990: Apple

Voce aggiunta l'8 settembre 2023

ImageIO

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di un'immagine potrebbe causare l'interruzione del servizio

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-23519: Meysam Firouzi @R00tkitSMM di Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) e jzhu in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiornata il 5 settembre 2023

Kernel

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app può determinare il layout della memoria del kernel

Descrizione: un problema di divulgazione delle informazioni è stato risolto rimuovendo il codice vulnerabile.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-23504: Adam Doupé di ASU SEFCOM

Maps

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2023-23503: un ricercatore anonimo

Safari

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'accesso a un sito web può causare un'interruzione del servizio dell'app

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2023-23512: Adriatik Raci

Weather

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2023-23511: Wojciech Regula di SecuRing (wojciechregula.blog), un ricercatore anonimo

WebKit

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria

WebKit Bugzilla: 248885

CVE-2023-32393: Francisco Alonso (@revskills)

Voce aggiunta il 28 giugno 2023

WebKit

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: un documento HTML potrebbe eseguire il rendering degli iFrame con informazioni sensibili dell'utenza

Descrizione: questo problema è stato risolto attraverso una migliore applicazione della sandbox iframe.

WebKit Bugzilla: 241753

CVE-2022-0108: Luan Herrera (@lbherrera_)

Voce aggiunta il 7 giugno 2023

WebKit

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con controlli migliori.

WebKit Bugzilla: 245464

CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren e Hang Shu dell'Institute of Computing Technology, Chinese Academy of Sciences

WebKit

Disponibile per: Apple TV 4K (tutti i modelli) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

WebKit Bugzilla: 248268

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) del Team ApplePIE

WebKit Bugzilla: 248268

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) del Team ApplePIE

Altri riconoscimenti

Core Data

Ringraziamo Austin Emmitt (@alkalinesec), Senior Security Researcher presso Trellix Advanced Research Center, per l'assistenza.

Voce aggiunta l'8 settembre 2023

Kernel

Ringraziamo Nick Stenning di Replicate per l'assistenza.

WebKit

Ringraziamo Eliya Stein di Confiant per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: