Om säkerhetsinnehållet i tvOS 16.4
Det här dokumentet beskriver säkerhetsinnehållet i tvOS 16.4.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
tvOS 16.4
Släpptes 27 mars 2023
AppleMobileFileIntegrity
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En användare kan få tillgång till skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kanske kan läsa opålitliga filer
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-27955: JeongOhKyea
Lades till 8 juni 2023
Core Bluetooth
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av ett skadligt Bluetooth-paket kanske kan leda till att processminnet visas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-23528: Jianjun Dai och Guang Gong på 360 Vulnerability Research Institute
CoreCapture
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-28181: Tingting Yin på Tsinghua University
FontParser
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27956: Ye Zhang på Baidu Security
Foundation
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Tolkning av en .plist-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-27937: En anonym forskare
Identity Services
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan få åtkomst till information om en användares kontakter
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-27928: Csaba Fitzl (@theevilbit) på Offensive Security
ImageIO
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23535: Ryuzaki
ImageIO
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) på Mbition Mercedes-Benz Innovation Lab och jzhu i samarbete med Trend Micro Zero Day Initiative
ImageIO
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu i samarbete med Trend Micro Zero Day Initiative och Meysam Firouzi (@R00tkitSMM) på Mbition Mercedes-Benz Innovation Lab
Lades till 21 december 2023
Kernel
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-23536: Félix Poulin-Bélanger och David Pan Ogea
Lades till 8 juni 2023, uppdaterades 21 december 2023
Kernel
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-27969: Adam Doupé på ASU SEFCOM
Kernel
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27933: Sqrtpwn
Kernel
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan orsaka ett DoS-angrepp
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-28185: Pan ZhenPeng på STAR Labs SG Pte. Ltd.
Lades till 21 december 2023
Podcasts
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Lades till 8 juni 2023
Shortcuts
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-27963: Wenchao Li och Xiaolong Bai på Alibaba Group och Jubaer Alnazi Jabin på TRS företagsgrupp
Lades till 8 juni 2023
TCC
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan kringgå principen för samma ursprung
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
WebKit Bugzilla: 248615
CVE-2023-27932: En anonym forskare
WebKit
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En webbplats kan spåra känslig användarinformation
Beskrivning: Problemet åtgärdades genom att ta bort information om ursprung.
WebKit Bugzilla: 250837
CVE-2023-27954: En anonym forskare
WebKit Web Inspector
Tillgängligt för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
Lades till 8 juni 2023
Ytterligare tack
CFNetwork
Vi vill tacka en anonym forskare för hjälpen.
CoreServices
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
ImageIO
Vi vill tacka Meysam Firouzi @R00tkitSMM för hjälpen.
WebKit
Vi vill tacka en anonym forskare för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.