Obsah zabezpečenia v systéme tvOS 17.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme tvOS 17.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

tvOS 17.1

Core Recents

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vyčistením protokolovania.

CVE-2023-42823

Game Center

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2023-42953: Michael (Biscuit) Thomas – @biscuit@social.lol

ImageIO

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2023-42848: JZ

libxpc

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2023-42942: Mickey Jin (@patch1t)

mDNSResponder

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2023-42846: Talal Haj Bakry a Tommy Mysk z tímu Mysk Inc. @mysk_co

Pro Res

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2023-42873: Mingxuan Yang (@PPPF00L) a happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute

Sandbox

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Siri

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-42946

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-40447: 이준성 (Junsung Lee) z tímu Cross Republic

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2023-41976: 이준성 (Junsung Lee)

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) a Vitor Pedreira (@0xvhp_) z tímu Agile Information Security

Ďalšie poďakovanie

VoiceOver

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii.

WebKit

Poďakovanie za pomoc si zaslúži anonymný výskumník.