Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 17.1
В этом документе описаны проблемы системы безопасности, устраненные в tvOS 17.1.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
tvOS 17.1
Дата выпуска: 25 октября 2023 г.
Core Recents
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема решена путем очистки журнала.
CVE-2023-42823
Запись добавлена 16 февраля 2024 г.
Game Center
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)
Запись добавлена 16 февраля 2024 г.
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При обработке вредоносного изображения возможно повреждение динамической памяти.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2023-42848: пользователь JZ
Запись добавлена 16 февраля 2024 г.
libxpc
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2023-42942: Mickey Jin (@patch1t)
Запись добавлена 16 февраля 2024 г.
mDNSResponder
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Устройство может быть пассивно отслежено по MAC-адресу Wi-Fi-адаптера.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-42846: Talal Haj Bakry и Tommy Mysk из Mysk Inc. (@mysk_co)
Pro Res
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), пользователь happybabywu и Guang Gong из 360 Vulnerability Research Institute
Запись добавлена 16 февраля 2024 г.
Sandbox
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Запись добавлена 16 февраля 2024 г.
Siri
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызвать утечку конфиденциальных пользовательских данных.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-42946
Запись добавлена 16 февраля 2024 г.
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) из Cross Republic
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема с логикой устранена путем улучшения проверок.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) и Vitor Pedreira (@0xvhp_) из Agile Information Security
Запись обновлена 16 февраля 2024 г.
Дополнительные благодарности
VoiceOver
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия).
WebKit
Выражаем благодарность за помощь анонимному исследователю.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
