Om sikkerhetsinnholdet i tvOS 16.4

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 16.4.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

tvOS 16.4

Utgitt 27. mars 2023

AppleMobileFileIntegrity

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: En bruker kan få tilgang til beskyttede deler av filsystemet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-23527: Mickey Jin (@patch1t)

Core Bluetooth

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: Behandling av en skadelig Bluetooth-pakke kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2023-23528: Jianjun Dai og Guang Gong fra 360 Vulnerability Research Institute

CoreCapture

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-28181: Tingting Yin fra Tsinghua University

FontParser

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-27956: Ye Zhang fra Baidu Security

Foundation

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: Parsing av en skadelig plist kan føre til at en applikasjon avsluttes uventet eller utføring av vilkårlig kode

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2023-27937: en anonym forsker

Identity Services

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security

ImageIO

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-23535: ryuzaki

ImageIO

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) fra Mbition Mercedes-Benz Innovation Lab og  jzhu i samarbeid med Trend Micro Zero Day Initiative

Kernel

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2023-27969: Adam Doupé fra ASU SEFCOM

Kernel

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-27933: sqrtpwn

Podcasts

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2023-27942: Mickey Jin (@patch1t)

TCC

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: Behandling av skadelig nettinnhold kan omgå regelen for samme opprinnelse (Same Origin)

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

WebKit Bugzilla: 248615
CVE-2023-27932: en anonym forsker

WebKit

Tilgjengelig for: Apple TV 4K (alle modeller) og Apple TV HD

Virkning: Et nettsted kan være i stand til å spore sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne informasjon om opprinnelse.

WebKit Bugzilla: 250837
CVE-2023-27954: en anonym forsker

Ytterligere anerkjennelser

CFNetwork

Vi vil gjerne takke en anonym forsker for hjelpen.

CoreServices

Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.

ImageIO

Vi vil gjerne takke Meysam Firouzi @R00tkitSMM for hjelpen.

WebKit

Vi vil gjerne takke en anonym forsker for hjelpen.

 

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: