Zawartość związana z zabezpieczeniami w systemie tvOS 17.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 17.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

tvOS 17.1

Wydano 25 października 2023 r.

Core Recents

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez wyczyszczenie rejestru

CVE-2023-42823

Wpis dodano 16 lutego 2024 r.

Game Center

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol

Wpis dodano 16 lutego 2024 r.

ImageIO

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu mogło doprowadzić do uszkodzenia sterty.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-42848: JZ

Wpis dodano 16 lutego 2024 r.

libxpc

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2023-42942: Mickey Jin (@patch1t)

Wpis dodano 16 lutego 2024 r.

mDNSResponder

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2023-42846: Talal Haj Bakry i Tommy Mysk z Mysk Inc. @mysk_co

Pro Res

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong z 360 Vulnerability Research Institute

Wpis dodano 16 lutego 2024 r.

Sandbox

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten problem naprawiono przez poprawienie zarządzania stanem.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Wpis dodano 16 lutego 2024 r.

Siri

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2023-42946

Wpis dodano 16 lutego 2024 r.

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) z Cross Republic

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) z Agile Information Security

Wpis uaktualniono 16 lutego 2024 r.

Dodatkowe podziękowania

VoiceOver

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.

WebKit

Dziękujemy anonimowemu badaczowi za pomoc.

 

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: