Apple セキュリティアップデートについて
Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。
Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。
セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。
tvOS 17.4
2024 年 3 月 7 日リリース
Accessibility
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:悪意のあるアプリが、アクセシビリティの通知に関連するログエントリでユーザデータを観察できる可能性がある。
説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。
CVE-2024-23291
AppleMobileFileIntegrity
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリが権限を昇格させることが可能な場合がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-23288:SecuRing の Wojciech Regula 氏 (wojciechregula.blog)、Kirin 氏 (@Pwnrin)
CoreBluetooth - LE
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:ユーザの許可がなくても、Bluetooth で接続されたマイクにアプリがアクセスできる可能性がある。
説明:アクセス制限を改善し、アクセス関連の脆弱性に対処しました。
CVE-2024-23250:Best Buddy Apps の Guilherme Rambo 氏 (rambo.codes)
file
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:ファイルを処理すると、サービス運用妨害を受ける可能性や、メモリのコンテンツが漏洩する可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2022-48554
Image Processing
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-23270:匿名の研究者
ImageIO
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:画像を処理すると、任意のコードが実行される可能性がある。
説明:メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。
CVE-2024-23286:Dohyun Lee 氏 (@l33d0hyun)
Kernel
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2024-23235
Kernel
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。
説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23265:Pangu Lab の Xinru Chi 氏
Kernel
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23225
libxpc
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-23278:匿名の研究者
libxpc
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリがサンドボックスの外部で、または昇格した特定の権限で任意のコードを実行できる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2024-0258:ali yabuz 氏
MediaRemote
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:悪意のあるアプリケーションに、非公開の情報にアクセスされる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-23297:scj643 氏
Metal
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。
説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。
CVE-2024-23264:Trend Micro Zero Day Initiative に協力する Meysam Firouzi 氏 (@R00tkitsmm)
RTKit
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:任意のカーネル読み書き権限を持つ攻撃者が、カーネルメモリ保護を回避できる可能性がある。Apple では、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-2024-23296
Sandbox
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリが重要なユーザ情報を漏洩させる可能性がある。
説明:ステート処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2024-23239:Mickey Jin 氏 (@patch1t)
Sandbox
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリが重要なユーザデータにアクセスできる可能性がある。
説明:制限を強化し、ロジックの脆弱性に対処しました。
CVE-2024-23290:SecuRing の Wojciech Regula 氏 (wojciechregula.blog)
Siri
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:物理的なアクセスが可能な攻撃者が、Siri を使って機微なユーザデータにアクセスできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-23293:Bistrit Dahal 氏
Spotlight
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリが重要なユーザ情報を漏洩させる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-23241
UIKit
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:この問題は、脆弱なコードを削除することで解決されました。
CVE-2024-23246:Deutsche Telekom Security GmbH (Bundesamt für Sicherheit in der Informationstechnik 出資)
WebKit
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:259694
CVE-2024-23226:Pwn2car
WebKit
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:悪意のある Web サイトに、オーディオデータをクロスオリジンで取得される可能性がある。
説明:UI の処理を改善することで、この問題を解決しました。
WebKit Bugzilla:263795
CVE-2024-23254:James Lee 氏 (@Windowsrcer)
WebKit
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:悪意を持って作成された Web コンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:検証を強化し、ロジックの脆弱性に対処しました。
WebKit Bugzilla:264811
CVE-2024-23263:Johan Carlsson 氏 (joaxcar)
WebKit
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:悪意を持って作成された Web ページが、ユーザを一意に識別するデータを作成できる場合がある。
説明:検証を強化し、インジェクションの脆弱性に対処しました。
WebKit Bugzilla:266703
CVE-2024-23280:匿名の研究者
WebKit
対象:Apple TV HD および Apple TV 4K (すべてのモデル)
影響:悪意を持って作成された Web コンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。
説明:ステート管理を改善し、ロジックの問題に対処しました。
WebKit Bugzilla:267241
CVE-2024-23284:Georg Felber 氏および Marco Squarcina 氏
ご協力いただいたその他の方々
CoreAnimation
Junsung Lee 氏のご協力に感謝いたします。
CoreMotion
Twin Cities App Dev LLC の Eric Dorphy 氏のご協力に感謝いたします。
Kernel
Tarek Joumaa 氏 (@tjkr0wn) のご協力に感謝いたします。
libxml2
OSS-Fuzz、Google Project Zero の Ned Williamson 氏のご協力に感謝いたします。
libxpc
F-Secure の Rasmus Sten 氏 (Mastodon:@pajp@blog.dll.nu)、匿名の研究者のご協力に感謝いたします。
Photos
Lakshmi Narain College Of Technology Bhopal の Abhay Kailasia 氏 (@abhay_kailasia) のご協力に感謝いたします。
Power Management
STAR Labs SG Pte. Ltd. の Pan ZhenPeng (@Peterpan0927) 氏のご協力に感謝いたします。
Sandbox
Zhongquan Li 氏 (@Guluisacat) のご協力に感謝いたします。
Siri
Bistrit Dahal 氏のご協力に感謝いたします。
Software Update
Dublin City University の Bin Zhang 氏のご協力に感謝いたします。
WebKit
360 Vulnerability Research Institute の Nan Wang 氏 (@eternalsakura13)、Valentino Dalla Valle 氏、Pedro Bernardo 氏、Marco Squarcina 氏、TU Wien の Lorenzo Veronese 氏のご協力に感謝いたします。