Zawartość związana z zabezpieczeniami w systemie tvOS 17.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 17.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

tvOS 17.1

Core Recents

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez wyczyszczenie rejestru

CVE-2023-42823

Game Center

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol

ImageIO

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu mogło doprowadzić do uszkodzenia sterty.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-42848: JZ

libxpc

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2023-42942: Mickey Jin (@patch1t)

mDNSResponder

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-42846: Talal Haj Bakry i Tommy Mysk z Mysk Inc. @mysk_co

Pro Res

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong z 360 Vulnerability Research Institute

Sandbox

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Siri

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2023-42946

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2023-40447: 이준성(Junsung Lee) z Cross Republic

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) z Agile Information Security

Dodatkowe podziękowania

VoiceOver

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.

WebKit

Dziękujemy anonimowemu badaczowi za pomoc.