Informazioni sui contenuti di sicurezza di tvOS 17
In questo documento vengono descritti i contenuti di sicurezza di tvOS 17.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
tvOS 17
Data di rilascio: 18 settembre 2023
Airport
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di permessi è stato risolto migliorando la redazione delle informazioni sensibili.
CVE-2023-40384: Adam M.
App Store
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato collegato in remoto potrebbe essere in grado di uscire dalla sandbox Contenuti web
Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.
CVE-2023-40448: w0wbox
Apple Neural Engine
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) di Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2023-40410: Tim Michaud (@TimGMichaud) di Moveworks.ai
AuthKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-32361: Csaba Fitzl (@theevilbit) di Offensive Security
Bluetooth
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: una persona malintenzionata nelle immediate vicinanze può causare un problema limitato di scrittura fuori dai limiti
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-35984: zer0k
bootp
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.
CVE-2023-41065: Adam M., Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe non riuscire ad applicare il protocollo App Transport Security
Descrizione: il problema è stato risolto attraverso una migliore gestione dei protocolli.
CVE-2023-38596: Will Brattain di Trail of Bits
CoreAnimation
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web potrebbe causare un'interruzione del servizio
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40420: 이준성(Junsung Lee) di Cross Republic
Core Data
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe bypassare le preferenze sulla privacy
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2023-40528: Kirin (@Pwnrin) di NorthSea
Voce aggiunta il 22 gennaio 2024
Dev Tools
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe accedere ai contatti
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40395: Csaba Fitzl (@theevilbit) di Offensive Security
GPU Drivers
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe rivelare la memoria kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40391: Antonio Zekic (@antoniozekic) di Dataflow Security
IOUserEthernet
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2023-40396: Certik Skyfall Team
Voce aggiunta il 16 luglio 2024
Kernel
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le mitigazioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41981: Linus Henze di Pinauten GmbH (pinauten.de)
Kernel
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Kernel
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema di autorizzazioni è stato risolto attraverso una migliore convalida.
CVE-2023-40429: Michael (Biscuit) Thomas e 张师傅(@京东蓝军)
libpcap
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente remoto potrebbe causare la chiusura improvvisa di un'app o l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2023-40400: Sei K.
libxpc
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe eliminare file per i quali non dispone di autorizzazione
Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.
CVE-2023-40454: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe accedere ai dati protetti degli utenti.
Descrizione: un problema di autorizzazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2023-41073: Zhipeng Huo (@R3dF09) di Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web potrebbe divulgare informazioni sensibili.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) di PK Security
Maps
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2023-40427: Adam M. e Wojciech Regula di SecuRing (wojciechregula.blog)
MobileStorageMounter
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente può essere in grado di rendere più elevati i privilegi.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2023-41068: Mickey Jin (@patch1t)
Photos
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2023-42949: Kirin (@Pwnrin)
Voce aggiunta il 16 luglio 2024
Photos Storage
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe accedere alle foto modificate salvate in una directory temporanea
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Pro Res
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2023-41063: Certik Skyfall Team
Sandbox
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe sovrascrivere i file arbitrari.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Simulator
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe leggere file arbitrari.
Descrizione: il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) di Cross Republic e Jie Ding(@Lime) di HKUS3 Lab
Voce aggiornata il 22 dicembre 2023
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) e Jong Seong Kim(@nevul37)
Voce aggiornata il 22 dicembre 2023
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario
Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Voce aggiunta il 22 dicembre 2023
Altri riconoscimenti
Airport
Ringraziamo Adam M., Noah Roskin-Frazee e Professor Jason Lau (ZeroClicks.ai Lab) per l'assistenza.
AppSandbox
Ringraziamo Kirin (@Pwnrin) per l'assistenza.
Audio
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Bluetooth
Ringraziamo Jianjun Dai e Guang Gong del 360 Vulnerability Research Institute per l'assistenza.
Control Center
Ringraziamo Chester van den Bogaard per l'assistenza.
Kernel
Ringraziamo Bill Marczak di The Citizen Lab della Munk School della University of Toronto, Maddie Stone del Threat Analysis Group di Google e 永超 王 per l'assistenza.
libxml2
Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.
libxpc
Ringraziamo un ricercatore anonimo per l'assistenza.
libxslt
Ringraziamo Dohyun Lee (@l33d0hyun) di PK Security, OSS-Fuzz e Ned Williamson di Google Project Zero per l'assistenza.
NSURL
Ringraziamo Zhanpeng Zhao (行之) e 糖豆爸爸 (@晴天组织) per l'assistenza.
Photos
Ringraziamo Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius e Paul Lurin per l'assistenza.
Voce aggiornata il 16 luglio 2024
Photos Storage
Ringraziamo Wojciech Regula di SecuRing (wojciechregula.blog) per l'assistenza.
Power Services
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Shortcuts
Ringraziamo Alfie CG, Christian Basting di Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca della “Tudor Vianu” National High School of Computer Science, Romania, Giorgos Christodoulidis, Jubaer Alnazi di TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) e Matthew Butler per l'assistenza.
Voce aggiornata il 24 aprile 2024
Software Update
Ringraziamo Omar Siman per l'assistenza.
Spotlight
Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal e Dawid Pałuska per l'assistenza.
StorageKit
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
WebKit
Ringraziamo Khiem Tran, Narendra Bhati From Suma Soft Pvt. Ltd. e un ricercatore anonimo per l'assistenza.
Wi-Fi
Ringraziamo Wang Yu di Cyberserval per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.