Despre conținutul de securitate din tvOS 17
Acest document descrie conținutul de securitate din tvOS 17.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 17
Lansare: 18 septembrie 2023
AirPort
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă legată de permisiuni a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-40384: Adam M.
App Store
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator la distanță poate evada din sandboxul Web Content
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a protocoalelor.
CVE-2023-40448: w0wbox
Apple Neural Engine
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)
AuthKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-32361: Csaba Fitzl (@theevilbit) (Offensive Security)
Bluetooth
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator din apropiere poate devia scrierea într-o măsură limitată
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-35984: zer0k
bootp
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-41065: Adam M., respectiv Noah Roskin-Frazee și prof. Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: este posibil ca o aplicație să nu poată executa funcția App Transport Security
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a protocoalelor.
CVE-2023-38596: Will Brattain (Trail of Bits)
CoreAnimation
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui conținut web poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)
Core Data
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-40528: Kirin (@Pwnrin) (NorthSea)
Intrare adăugată pe 22 ianuarie 2024
Dev Tools
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-32396: Mickey Jin (@patch1t)
Game Center
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: este posibil ca o aplicație să poată accesa contactele
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-40395: Csaba Fitzl (@theevilbit) (Offensive Security)
GPU Drivers
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40391: Antonio Zekic (@antoniozekic) (Dataflow Security)
IOUserEthernet
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40396: echipa Skyfall de la Certik
Intrare adăugată pe 16 iulie 2024
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd.
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.
CVE-2023-40429: Michael (Biscuit) Thomas și 张师傅(@京东蓝军)
libpcap
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2023-40400: Sei K.
libxpc
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate șterge fișiere pentru care nu are permisiune
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2023-40454: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)
libxpc
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-41073: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)
libxslt
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea conținutului web poate divulga informații sensibile
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)
Maps
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-40427: Adam M. și Wojciech Regula (SecuRing) (wojciechregula.blog)
MobileStorageMounter
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un utilizator poate să acorde privilegii superioare
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.
CVE-2023-41068: Mickey Jin (@patch1t)
Photos
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate accesa poze editate salvate într-un director temporar
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2023-42949: Kirin (@Pwnrin)
Intrare adăugată pe 16 iulie 2024
Photos Storage
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate accesa poze editate salvate într-un director temporar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Pro Res
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-41063: Certik Skyfall Team
Sandbox
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate suprascrie fișiere arbitrare
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Simulator
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
StorageKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate citi fișiere arbitrare
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) (Cross Republic) și Jie Ding(@Lime) (HKUS3 Lab)
Intrare adăugată la 22 decembrie 2023
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 239758
CVE-2023-35074: Ajou University Abysslab Dong Jun Kim(@smlijun) și Jong Seong Kim (@nevul37)
Intrare adăugată la 22 decembrie 2023
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Intrare adăugată la 22 decembrie 2023
Alte mențiuni
AirPort
Dorim să le mulțumim lui Adam M., respectiv lui Noah Roskin-Frazee și d-lui prof. Jason Lau (ZeroClicks.ai Lab) pentru asistența acordată.
AppSandbox
Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.
Audio
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistență.
Bluetooth
Dorim să le mulțumim lui Jianjun Dai și Guang Gong de la 360 Vulnerability Research Institute pentru asistența acordată.
Control Center
Dorim să-i mulțumim lui Chester van den Bogaard pentru asistența acordată.
Kernel
Dorim să le mulțumim lui Bill Marczak de la The Citizen Lab, Munk School din cadrul Universității din Toronto și lui Maddie Stone de la Threat Analysis Group din cadrul Google, 永超 王 pentru asistența acordată.
libxml2
Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistența acordată.
libxpc
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
libxslt
Dorim să le mulțumim lui Dohyun Lee (@l33d0hyun) de la PK Security, OSS-Fuzz și Ned Williamson de la Google Project Zero pentru asistența acordată.
NSURL
Dorim să le mulțumim lui Zhanpeng Zhao (行之) și 糖豆爸爸(@晴天组织) pentru asistența acordată.
Photos
Dorim să îi mulțumim lui Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius și Paul Lurin pentru asistență.
Actualizare intrare: 16 iulie 2024
Photos Storage
Dorim să-i mulțumim lui Wojciech Regula de la SecuRing (wojciechregula.blog) pentru asistența acordată.
Power Services
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistență.
Shortcuts
Dorim să le mulțumim lui Alfie CG, Christian Basting (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dinca (Colegiul Național de Informatică „Tudor Vianu”, România), Giorgos Christodoulidis, Jubaer Alnazi (TRS Group Of Companies), KRISHAN KANT DWIVEDI (@xenonx7) și Matthew Butler pentru asistența acordată.
Actualizare intrare: 24 aprilie 2024
Software Update
Dorim să-i mulțumim lui Omar Siman pentru asistența acordată.
Spotlight
Dorim să le mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal și Dawid Pałuska pentru asistența acordată.
StorageKit
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
WebKit
Dorim să le mulțumim lui Khiem Tran și lui Narendra Bhati de la Suma Soft Pvt. Ltd și unui cercetător anonim pentru asistența acordată.
Wi-Fi
Dorim să-i mulțumim lui Wang Yu de la Cyberserval pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.