Over de beveiligingsinhoud van tvOS 16.5
In dit document wordt de beveiligingsinhoud van tvOS 16.5 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 16.5
Releasedatum: 18 mei 2023
Accessibility
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: rechten en privacytoestemmingen die worden gegeven aan deze app, worden mogelijk gebruikt door een schadelijke app
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2023-32400: Mickey Jin (@patch1t)
Toegevoegd op 5 september 2023
Accounts
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een aanvaller kan mogelijk e-mails van gebruikersaccounts laten uitlekken
Beschrijving: een probleem met machtigingen is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke gegevens.
CVE-2023-34352: Sergii Kryvoblotskyi van MacPaw Inc.
Toegevoegd op 5 september 2023
AppleMobileFileIntegrity
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-32411: Mickey Jin (@patch1t)
Core Location
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-32399: Adam M.
Bijgewerkt op 5 september 2023
CoreServices
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-32392: Adam M.
Bijgewerkt op 5 september 2023
ImageIO
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM van Mbition Mercedes-Benz Innovation Lab in samenwerking met Trend Micro Zero Day Initiative
Bijgewerkt op 5 september 2023
ImageIO
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) in samenwerking met Trend Micro Zero Day Initiative
IOSurfaceAccelerator
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32354: Linus Henze van Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32420: CertiK SkyFall Team en Linus Henze van Pinauten GmbH (pinauten.de)
Bijgewerkt op 5 september 2023
Kernel
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.
CVE-2023-27930: 08Tc3wBB van Jamf
Kernel
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32398: Adam Doupé van ASU SEFCOM
Kernel
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) van Synacktiv (@Synacktiv) in samenwerking met Trend Micro Zero Day Initiative
LaunchServices
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan Gatekeeper-controles omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) van SecuRing (wojciechregula.blog)
Toegevoegd op 5 september 2023
MallocStackLogging
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: dit probleem is verholpen door verbeterd bestandsbeheer.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Toegevoegd op 5 september 2023
Metal
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: het verwerken van een 3D-model kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: dit probleem is aangepakt door gevoelige informatie beter te redigeren.
CVE-2023-32403: Adam M.
Bijgewerkt op 5 september 2023
NSURLSession
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan buiten zijn sandbox komen
Beschrijving: het probleem is verholpen door verbeteringen aan het bestandsbeheerprotocol.
CVE-2023-32437: Thijs Alkemade van Computest Sector 7
Toegevoegd op 5 september 2023
Photos
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: foto's die deel uitmaken van het album met verborgen foto's konden zonder authenticatie worden bekeken via Visueel opzoeken
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32390: Julian Szulc
Toegevoegd op 5 september 2023
Sandbox
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan toegang behouden tot bestanden voor systeemconfiguratie, zelfs nadat de toestemming is ingetrokken
Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa van FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) en Csaba Fitzl (@theevilbit) van Offensive Security
Share Sheet
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.
CVE-2023-32432: Kirin (@Pwnrin)
Toegevoegd op 5 september 2023
Shortcuts
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een opdracht kan bij bepaalde acties gebruikmaken van gevoelige gegevens zonder dat de gebruiker om toestemming wordt gevraagd
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32391: Wenchao Li en Xiaolong Bai van Alibaba Group
Toegevoegd op 5 september 2023
Shortcuts
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-32404: Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com), Mickey Jin (@patch1t) en een anonieme onderzoeker
Toegevoegd op 5 september 2023
Siri
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: iemand met fysieke toegang tot een apparaat zou contactgegevens kunnen bekijken via het toegangsscherm
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32394: Khiem Tran
SQLite
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door aanvullende beperkingen voor SQLite-logboekregistratie toe te voegen.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) en Wojciech Reguła van SecuRing (wojciechregula.blog)
Bijgewerkt op 2 juni 2023
StorageKit
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: de firewall-instelling van een app is mogelijk niet effectief na het sluiten van de Instellingen-app
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2023-28202: Satish Panduranga en een anonieme onderzoeker
Telephony
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32412: Ivan Fratric van Google Project Zero
TV App
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-32408: Adam M.
Weather
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: dit probleem is aangepakt door gevoelige informatie beter te redigeren.
CVE-2023-32415: Wojciech Regula van SecuRing (wojciechregula.blog) en Adam M.
Bijgewerkt op donderdag 16 juli 2024
WebKit
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: de verwerking van webmateriaal kan mogelijk gevoelige gegevens onthullen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Bijgewerkt op 21 december 2023
WebKit
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie
Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een externe aanvaller kan mogelijk de Webinhoud-sandbox doorbreken. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne van de Threat Analysis Group van Google en Donncha Ó Cearbhaill van het Security Lab van Amnesty International
WebKit
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: het verwerken van webmateriaal kan gevoelige informatie vrijgeven. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
WebKit Bugzilla: 254930
CVE-2023-28204: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 254840
CVE-2023-32373: een anonieme onderzoeker
Wi-Fi
Beschikbaar voor: Apple TV 4K (alle modellen) en Apple TV HD
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.
Aanvullende erkenning
Accounts
Met dank aan Sergii Kryvoblotskyi van MacPaw Inc. voor de hulp.
CFNetwork
Met dank aan Gabriel Geraldino de Souza voor de hulp.
Toegevoegd op 16 juli 2024
CloudKit
Met dank aan Iconic voor de hulp.
libxml2
Met dank aan OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.
Reminders
Met dank aan Kirin (@Pwnrin) voor de hulp.
Security
Met dank aan Brandon Toms voor de hulp.
Share Sheet
Met dank aan Kirin (@Pwnrin) voor de hulp.
Wallet
Met dank aan James Duffy (mangoSecure) voor de hulp.
Wi-Fi
Met dank aan Adam M. voor de hulp.
Toegevoegd op 21 december 2023
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.