Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

tvOS 16.4
Utgitt 27. mars 2023
AppleMobileFileIntegrity
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: En bruker kan få tilgang til beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
Core Bluetooth
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: Behandling av en skadelig Bluetooth-pakke kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-23528: Jianjun Dai og Guang Gong fra 360 Vulnerability Research Institute
CoreCapture
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-28181: Tingting Yin fra Tsinghua University
FontParser
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-27956: Ye Zhang fra Baidu Security
Foundation
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: Parsing av en skadelig plist kan føre til at en applikasjon avsluttes uventet eller utføring av vilkårlig kode
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2023-27937: en anonym forsker
Identity Services
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-23535: ryuzaki
ImageIO
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab og jzhu i samarbeid med Trend Micro Zero Day Initiative
Kernel
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2023-27969: Adam Doupé fra ASU SEFCOM
Kernel
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-27933: sqrtpwn
Podcasts
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
TCC
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan omgå regelen for samme opprinnelse (Same Origin)
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 248615
CVE-2023-27932: en anonym forsker
WebKit
Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD
Virkning: Et nettsted kan være i stand til å spore sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å fjerne informasjon om opprinnelse.
WebKit Bugzilla: 250837
CVE-2023-27954: en anonym forsker

Ytterligere anerkjennelser
CFNetwork
Vi vil gjerne takke en anonym forsker for hjelpen.
CoreServices
Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.
ImageIO
Vi vil gjerne takke Meysam Firouzi @R00tkitSMM for hjelpen.
WebKit
Vi vil gjerne takke en anonym forsker for hjelpen.