Despre conținutul de securitate din tvOS 17.2

Acest document descrie conținutul de securitate din tvOS 17.2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

tvOS 17.2

Lansare: 11 decembrie 2023

AVEVideoEncoder

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42884: un cercetător anonim

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42898: Zhenjiang Zhao de la Pangu Team, Qianxin și Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee

Intrare actualizată la 22 martie 2024

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate evada din sandbox

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)

Libsystem

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.

CVE-2023-42893

Intrare adăugată la 22 martie 2024

Sandbox

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42936

Intrare adăugată la 22 martie 2024

TCC

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab (JingDong)

Intrare adăugată la 22 martie 2024

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web poate cauza divulgarea de informații sensibile. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată împotriva versiunilor de iOS lansate înainte de iOS 16.7.1.

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne (Google Threat Analysis Group)

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea conținutului web poate cauza executarea unui cod arbitrar. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată împotriva versiunilor de iOS lansate înainte de iOS 16.7.1.

Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.

WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne (Google's Threat Analysis Group)

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de la 360 Vulnerability Research Institute și rushikesh nandedkar

Intrare adăugată la 22 martie 2024

 

Alte mențiuni

WebSheet

Dorim să îi mulțumim lui Paolo Ruggero de la e-phors S.p.A. (compania A FINCANTIERI S.p.A.) pentru asistența acordată.

Intrare adăugată la 22 martie 2024

Wi-Fi

Dorim să le mulțumim lui Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) pentru asistența acordată.

 

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: