Over de beveiligingsinhoud van tvOS 17.1
In dit document wordt de beveiligingsinhoud van tvOS 17.1 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 17.1
Releasedatum: 25 oktober 2023
Core Recents
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door de registratie op te schonen
CVE-2023-42823
Toegevoegd op 16 februari 2024
Game Center
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.
CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol
Toegevoegd op 16 februari 2024
ImageIO
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-42848: JZ
Toegevoegd op 16 februari 2024
libxpc
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een kwaadaardige app kan rootbevoegdheden verkrijgen
Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.
CVE-2023-42942: Mickey Jin (@patch1t)
Toegevoegd op 16 februari 2024
mDNSResponder
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een apparaat kan passief worden gevolgd via het wifi-MAC-adres
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-42846: Talal Haj Bakry en Tommy Mysk van Mysk Inc. @mysk_co
Pro Res
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), en happybabywu en Guang Gong van 360 Vulnerability Research Institute
Toegevoegd op 16 februari 2024
Sandbox
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Toegevoegd op 16 februari 2024
Siri
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2023-42946
Toegevoegd op 16 februari 2024
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) van Cross Republic
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) en Vitor Pedreira (@0xvhp_) van Agile Information Security
Bijgewerkt op 16 februari 2024
Aanvullende erkenning
VoiceOver
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India voor de hulp.
WebKit
Met dank aan een anonieme onderzoeker voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.