Despre conținutul de securitate din tvOS 16.4

Acest document descrie conținutul de securitate din tvOS 16.4.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la Securitatea produselor Apple.

tvOS 16.4

AppleMobileFileIntegrity

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Descriere: un utilizator poate obține acces la componente protejate ale sistemului de fișiere

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-23527: Mickey Jin (@patch1t)

ColorSync

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o aplicație poate citi fișiere arbitrare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-27955: JeongOhKyea

Core Bluetooth

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: procesarea unui pachet Bluetooth creat cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2023-23528: Jianjun Dai și Guang Gong (360 Vulnerability Research Institute)

CoreCapture

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-28181: Tingting Yin de la Tsinghua University

FontParser

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-27956: Ye Zhang (Baidu Security)

Foundation

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: analizarea unui plist creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2023-27937: un cercetător anonim

Identity Services

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o aplicație poate accesa informații despre contactele unui utilizator

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-27928: Csaba Fitzl (@theevilbit) de la Offensive Security

ImageIO

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-23535: ryuzaki

ImageIO

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab) și jzhu în colaborare cu Trend Micro Zero Day Initiative

ImageIO

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2023-42862: Meysam Firouzi @R00tkitSMM

CVE-2023-42865: jzhu, care lucrează în cadrul acțiunii Trend Micro Zero Day Initiative, și Meysam Firouzi (@R00tkitSMM) (Mbition Mercedes-Benz Innovation Lab)

Intrare adăugată pe 21 decembrie 2023

Kernel

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-23536: Félix Poulin-Bélanger și David Pan Ogea

Intrare adăugată la 8 iunie 2023, actualizată la 21 decembrie 2023

Kernel

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-27969: Adam Doupé (ASU SEFCOM)

Kernel

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-27933: sqrtpwn

Kernel

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2023-28185: Pan ZhenPeng STAR Labs SG Pte. Ltd.

Intrare adăugată pe 21 decembrie 2023

Podcasturi

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Adăugare intrare: 8 iunie 2023

Shortcuts

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului

Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.

CVE-2023-27963: Wenchao Li și Xiaolong Bai de la Alibaba Group și Jubaer Alnazi Jabin de la TRS Group Of Companies

Adăugare intrare: 8 iunie 2023

TCC

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: procesarea conținutului unui site web rău intenționat poate ocoli Same Origin Policy

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 248615

CVE-2023-27932: un cercetător anonim

WebKit

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: un site web poate urmări informații sensibile ale utilizatorilor

Descriere: problema a fost rezolvată prin eliminarea informațiilor privind originea.

WebKit Bugzilla: 250837

CVE-2023-27954: un cercetător anonim

WebKit Web Inspector

Disponibilitate pentru: Apple TV 4K (toate modelele) și Apple TV HD

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-28201: Dohyun Lee (@l33d0hyun) și crixer (@pwning_me) de la SSD Labs

Adăugare intrare: 8 iunie 2023

Alte mențiuni

CFNetwork

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

CoreServices

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

ImageIO

Dorim să îi mulțumim lui Meysam Firouzi @R00tkitSMM pentru asistență.

WebKit

Dorim să îi mulțumim unui cercetător anonim pentru asistență.