Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.
tvOS 16.4
Выпущено 27 марта 2023 г.
AppleMobileFileIntegrity
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Пользователь может получать доступ к защищенным областям файловой системы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может считывать произвольные файлы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-27955: пользователь JeongOhKyea
Запись добавлена 8 июня 2023 г.
Core Bluetooth
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Обработка вредоносного Bluetooth-пакета может привести к раскрытию памяти процесса.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2023-23528: Jianjun Dai и Guang Gong из 360 Vulnerability Research Institute
CoreCapture
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-28181: Tingting Yin из Университета Цинхуа
FontParser
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-27956: Ye Zhang из Baidu Security
Foundation
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Анализ вредоносного списка свойств может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2023-27937: анонимный исследователь
Identity Services
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может получать доступ к информации о контактах пользователя.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2023-27928: Csaba Fitzl (@theevilbit) из Offensive Security
ImageIO
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-23535: пользователь ryuzaki
ImageIO
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) из Mbition Mercedes-Benz Innovation Lab и пользователь jzhu, работающий вместе с Trend Micro Zero Day Initiative
ImageIO
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Обработка изображения может привести к раскрытию памяти процесса.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM)
CVE-2023-42865: пользователь jzhu, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, и Meysam Firouzi (@R00tkitSMM) из Mbition Mercedes-Benz Innovation Lab
Запись добавлена 21 декабря 2023 г.
Kernel
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2023-23536: Félix Poulin-Bélanger и David Pan Ogea
Запись добавлена 8 июня 2023 г. и обновлена 21 декабря 2023 г.
Kernel
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2023-27969: Adam Doupé из ASU SEFCOM
Kernel
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение с привилегиями пользователя root может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2023-27933: пользователь sqrtpwn
Kernel
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2023-28185: Pan ZhenPeng из STAR Labs SG Pte. Ltd.
Запись добавлена 21 декабря 2023 г.
Podcasts
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Запись добавлена 8 июня 2023 г.
Shortcuts
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Быстрая команда может использовать конфиденциальные данные и выполнять некоторые действия, не запрашивая разрешение пользователя.
Описание. Проблема устранена путем ввода дополнительных проверок разрешений.
CVE-2023-27963: Wenchao Li и Xiaolong Bai из Alibaba Group, Jubaer Alnazi Jabin из группы компаний TRS
Запись добавлена 8 июня 2023 г.
TCC
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может обойти политику одного источника.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 248615
CVE-2023-27932: анонимный исследователь
WebKit
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Веб-сайт может отслеживать конфиденциальные данные пользователя.
Описание. Проблема устранена посредством удаления сведений об источнике.
WebKit Bugzilla: 250837
CVE-2023-27954: анонимный исследователь
WebKit Web Inspector
Доступно для: Apple TV 4K (все модели) и Apple TV HD
Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2023-28201: Dohyun Lee (@l33d0hyun) и crixer (@pwning_me) из SSD Labs
Запись добавлена 8 июня 2023 г.
Дополнительные благодарности
CFNetwork
Выражаем благодарность за помощь анонимному исследователю.
CoreServices
Выражаем благодарность за помощь Mickey Jin (@patch1t).
ImageIO
Выражаем благодарность за помощь Meysam Firouzi @R00tkitSMM.
WebKit
Выражаем благодарность за помощь анонимному исследователю.