Obsah zabezpečenia v systéme tvOS 16.3

V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 16.3.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

tvOS 16.3

AppleMobileFileIntegrity

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením kontrol, aby sa zabránilo neoprávneným akciám.

CVE-2023-32438: Csaba Fitzl (@theevilbit, Offensive Security) a Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) z tímu SecuRing (wojciechregula.blog)

Crash Reporter

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Používateľ môže byť schopný čítať ľubovoľné súbory ako koreňový používateľ

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2023-23520: Cees Elzinga

FontParser

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-41990: Apple

ImageIO

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-23519: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab), Yiğit Can YILMAZ (@yilmazcanyigit) a jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Apka môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23504: Adam Doupé z tímu ASU SEFCOM

Maps

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2023-23503: Anonymný výskumník

Safari

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Návšteva webovej stránky môže viesť k odmietnutiu služby apky

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2023-23512: Adriatik Raci

Weather

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23511: Wojciech Regula z tímu SecuRing (wojciechregula.blog), anonymný výskumník

WebKit

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte

CVE-2023-32393: Francisco Alonso (@revskills)

WebKit

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Dokument HTML môže byť schopný vykresľovať rámce iframe s citlivými používateľskými informáciami

Popis: Tento problém bol vyriešený vylepšením vynútenia izolovania priestoru pre prvky iFrame.

CVE-2022-0108: Luan Herrera (@lbherrera_)

WebKit

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren a Hang Shu (Ústav výpočtovej techniky, Čínska akadémia vied)

WebKit

Dostupné pre: Apple TV 4K (všetky modely) a Apple TV HD

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107) a Dohyun Lee (@l33d0hyun) z tímu ApplePIE

Ďalšie poďakovanie

Core Data

Poďakovanie za pomoc si zaslúži Austin Emmitt (@alkalinesec), senior výskumník zabezpečenia v stredisku Trellix Advanced Research Center.

Kernel

Poďakovanie za pomoc si zaslúži Nick Stenning (Replicate).

WebKit

Poďakovanie za pomoc si zaslúži Eliya Stein (Confiant).