Om sikkerhetsinnholdet i tvOS 17.1

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 17.1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

tvOS 17.1

Core Recents

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom loggrensing

CVE-2023-42823

Game Center

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til skade i heapen

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2023-42848: JZ

libxpc

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En skadelig app kan være i stand til å skaffe seg rotrettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2023-42942: Mickey Jin (@patch1t)

mDNSResponder

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En enhet kan bli sporet passivt ved bruk av MAC-adressen for Wi-Fi

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2023-42846: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co

Pro Res

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-42873: Mingxuan Yang (@PPPF00L) samt happybabywu og Guang Gong fra 360 Vulnerability Research Institute

Sandbox

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Siri

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan kanskje lekke sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2023-42946

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-40447: 이준성(Junsung Lee) fra Cross Republic

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) og Vitor Pedreira (@0xvhp_) fra Agile Information Security

Ytterligere anerkjennelser

VoiceOver

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal i India for hjelpen.

WebKit

Vi vil gjerne takke en anonym forsker for hjelpen.