Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
tvOS 16.5
Wydano 18 maja 2023 r.
Accessibility
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: prawa i uprawnienia dotyczące prywatności przyznane tej aplikacji mogą zostać wykorzystane przez złośliwą aplikację.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2023-32400: Mickey Jin (@patch1t)
Wpis dodano 5 września 2023 r.
Accounts
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: osoba atakująca może uzyskać dostęp do wiadomości e-mail z konta użytkownika.
Opis: problem dotyczący uprawnień naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-34352: Sergii Kryvoblotskyi z MacPaw Inc.
Wpis dodano 5 września 2023 r.
AppleMobileFileIntegrity
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2023-32411: Mickey Jin (@patch1t)
Core Location
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-32399: Adam M.
Wpis uaktualniono 5 września 2023 r.
CoreServices
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten problem naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-32392: Adam M.
Wpis uaktualniono 5 września 2023 r.
ImageIO
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: przetworzenie obrazu może spowodować ujawnienie pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM z Mbition Mercedes-Benz Innovation Lab w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 5 września 2023 r.
ImageIO
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: przetworzenie obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2023-32384: Meysam Firouzi @R00tkitSMM w ramach programu Zero Day Initiative firmy Trend Micro
IOSurfaceAccelerator
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-32354: Linus Henze z Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-32420: CertiK SkyFall Team i Linus Henze z Pinauten GmbH (pinauten.de)
Wpis uaktualniono 5 września 2023 r.
Kernel
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
CVE-2023-27930: 08Tc3wBB z Jamf
Kernel
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2023-32398: Adam Doupé z ASU SEFCOM
Kernel
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) z Synacktiv (@Synacktiv) w ramach programu Zero Day Initiative firmy Trend Micro
LaunchServices
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może ominąć kontrole funkcji Gatekeeper.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) z SecuRing (wojciechregula.blog)
Wpis dodano 5 września 2023 r.
MallocStackLogging
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: ten błąd naprawiono przez poprawienie procedury obsługi plików.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Wpis dodano 5 września 2023 r.
Metal
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: przetworzenie modelu 3D może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-32403: Adam M.
Wpis uaktualniono 5 września 2023 r.
NSURLSession
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: problem rozwiązano przez ulepszenia w protokole obsługi plików.
CVE-2023-32437: Thijs Alkemade from Computest Sector 7
Wpis dodano 5 września 2023 r.
Photos
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: zdjęcia należące do albumu Ukryte zdjęcia mogły być przeglądane bez uwierzytelniania za pomocą funkcji Wyszukiwanie wizualne.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-32390: Julian Szulc
Wpis dodano 5 września 2023 r.
Sandbox
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie zachować dostęp do plików konfiguracji systemu nawet po cofnięciu uprawnień.
Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa z FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) i Csaba Fitzl (@theevilbit) z Offensive Security
Share Sheet
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.
CVE-2023-32432: Kirin (@Pwnrin)
Wpis dodano 5 września 2023 r.
Shortcuts
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: skrót może używać poufnych danych do wykonywania pewnych czynności bez monitowania użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-32391: Wenchao Li i Xiaolong Bai z Alibaba Group
Wpis dodano 5 września 2023 r.
Shortcuts
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2023-32404: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com), Mickey Jin (@patch1t) i anonimowy badacz
Wpis dodano 5 września 2023 r.
Siri
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może wyświetlać informacje kontaktowe z poziomu zablokowanego ekranu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-32394: Khiem Tran
SQLite
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez dodanie dodatkowych ograniczeń dotyczących rejestrowania danych w dziennikach SQLite.
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła z SecuRing (wojciechregula.blog)
Wpis uaktualniono 2 czerwca 2023 r.
StorageKit
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: ustawienie zapory sieciowej aplikacji może nie zadziałać po zamknięciu aplikacji Ustawienia.
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2023-28202: Satish Panduranga i anonimowy badacz
Telephony
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2023-32412: Ivan Fratric z Google Project Zero
TV App
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-32408: Adam M.
Weather
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-32415: Wojciech Regula z SecuRing (wojciechregula.blog) i anonimowy badacz
WebKit
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: przetworzenie zawartości internetowej może ujawnić poufne informacje.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 255075
CVE-2023-32402: anonimowy badacz
WebKit
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: przetworzenie zawartości internetowej może ujawnić poufne informacje.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: osoba atakująca zdalnie może być w stanie wydostać się z piaskownicy zawartości internetowej. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne z Threat Analysis Group firmy Google i Donncha Ó Cearbhaill z Amnesty International’s Security Lab
WebKit
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: przetworzenie zawartości internetowej może ujawnić poufne informacje. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 254930
CVE-2023-28204: anonimowy badacz
WebKit
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.
Opis: naprawiono błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury zarządzania pamięcią.
WebKit Bugzilla: 254840
CVE-2023-32373: anonimowy badacz
Wi-Fi
Dostępne dla: urządzeń Apple TV 4K (wszystkie modele) i Apple TV HD
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Dodatkowe podziękowania
Accounts
Dziękujemy za udzieloną pomoc: Sergii Kryvoblotskyi z MacPaw Inc.
CloudKit
Dziękujemy za udzieloną pomoc: Iconic.
libxml2
Dziękujemy za udzieloną pomoc: OSS-Fuzz i Ned Williamson z Google Project Zero.
Reminders
Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin).
Security
Dziękujemy za udzieloną pomoc: Brandon Toms.
Share Sheet
Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin).
Wallet
Dziękujemy za udzieloną pomoc: James Duffy (mangoSecure).