Despre conținutul de securitate din tvOS 17.2
Acest document descrie conținutul de securitate din tvOS 17.2.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 17.2
Lansare: 11 decembrie 2023
AVEVideoEncoder
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42884: un cercetător anonim
ImageIO
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42898: Zhenjiang Zhao de la Pangu Team, Qianxin și Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee
Intrare actualizată pe 22 martie 2024
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate evada din sandbox
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)
Libsystem
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.
CVE-2023-42893
Intrare adăugată pe 22 martie 2024
Sandbox
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42936: Csaba Fitzl (@theevilbit) de la OffSec
Intrare adăugată pe 22 martie 2024, actualizată pe 16 iulie 2024
TCC
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate evada din sandbox
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab (JingDong)
Intrare adăugată pe 22 martie 2024
Transparency
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date
CVE-2023-40389: Csaba Fitzl (@theevilbit) din cadrul Offensive Security și Joshua Jewett (@JoshJewett33)
Intrare adăugată pe 16 iulie 2024
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea de conținut web poate cauza divulgarea de informații sensibile. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată împotriva versiunilor de iOS lansate înainte de iOS 16.7.1.
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne (Google Threat Analysis Group)
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea conținutului web poate cauza executarea unui cod arbitrar. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în raport cu versiunile de iOS lansate înainte de versiunea iOS 16.7.1.
Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.
WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne (Google Threat Analysis Group)
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de la 360 Vulnerability Research Institute și rushikesh nandedkar
Intrare adăugată pe 22 martie 2024
Alte mențiuni
WebSheet
Dorim să îi mulțumim lui Paolo Ruggero de la e-phors S.p.A. (compania A FINCANTIERI S.p.A.) pentru asistența acordată.
Intrare adăugată pe 22 martie 2024
Wi-Fi
Dorim să le mulțumim lui Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.