Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
tvOS 17.2
Wydano 11 grudnia 2023 r.
AVEVideoEncoder
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-42884: anonimowy badacz
ImageIO
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-42898: Zhenjiang Zhao z zespołu Pangu Team, Qianxin i Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM i Junsung Lee
Wpis uaktualniono 22 marca 2024 r.
Kernel
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) z Synacktiv (@Synacktiv)
Libsystem
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.
Opis: naprawiono błąd uprawnień przez usunięcie kodu związanego z luką w zabezpieczeniach i wprowadzenie dodatkowych procedur sprawdzania.
CVE-2023-42893
Wpis dodano 22 marca 2024 r.
Sandbox
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-42936
Wpis dodano 22 marca 2024 r.
TCC
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2023-42947: Zhongquan Li (@Guluisacat) z Dawn Security Lab i JingDong
Wpis dodano 22 marca 2024 r.
WebKit
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie zawartości internetowej może ujawnić poufne informacje. Apple ma świadomość, że problem mógł być wykorzystany w atakach na systemy iOS wydane przed systemem iOS 16.7.1.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne z Threat Analysis Group firmy Google
WebKit
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetwarzanie zawartości internetowej mogło spowodować wykonanie dowolnego kodu. Apple ma świadomość, że problem mógł być wykorzystany w atakach na systemy iOS wydane przed systemem iOS 16.7.1.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne z Threat Analysis Group firmy Google
WebKit
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute i rushikesh nandedkar
Wpis dodano 22 marca 2024 r.
Dodatkowe podziękowania
WebSheet
Dziękujemy za udzieloną pomoc: Paolo Ruggero z e‑phors S.p.A. (A FINCANTIERI S.p.A. Company).
Wpis dodano 22 marca 2024 r.
Wi-Fi
Dziękujemy za udzieloną pomoc: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab).