Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
tvOS 16.4
Släpptes 27 mars 2023
AppleMobileFileIntegrity
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En användare kan få tillgång till skyddade delar av filsystemet
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-23527: Mickey Jin (@patch1t)
ColorSync
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan läsa godtyckliga filer
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-27955: JeongOhKyea
Lades till 8 juni 2023
Core Bluetooth
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av ett skadligt Bluetooth-paket kanske kan leda till att processminnet visas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-23528: Jianjun Dai och Guang Gong på 360 Vulnerability Research Institute
CoreCapture
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-28181: Tingting Yin på Tsinghua University
FontParser
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27956: Ye Zhang på Baidu Security
Foundation
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Tolkning av en .plist-fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-27937: En anonym forskare
Identity Services
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan få åtkomst till information om en användares kontakter
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-27928: Csaba Fitzl (@theevilbit) på Offensive Security
ImageIO
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23535: Ryuzaki
ImageIO
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) på Mbition Mercedes-Benz Innovation Lab och jzhu i samarbete med Trend Micro Zero Day Initiative
ImageIO
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-42862: Meysam Firouzi @R00tkitSMM
CVE-2023-42865: jzhu i samarbete med Trend Micro Zero Day Initiative och Meysam Firouzi (@R00tkitSMM) på Mbition Mercedes-Benz Innovation Lab
Lades till 21 december 2023
Kernel
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-23536: Félix Poulin-Bélanger och David Pan Ogea
Lades till 8 juni 2023, uppdaterades 21 december 2023
Kernel
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-27969: Adam Doupé på ASU SEFCOM
Kernel
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27933: Sqrtpwn
Kernel
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan orsaka ett dos-angrepp
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-28185: Pan ZhenPeng på STAR Labs SG Pte. Ltd.
Lades till 21 december 2023
Podcasts
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-27942: Mickey Jin (@patch1t)
Sandbox
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Lades till 8 juni 2023
Shortcuts
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-27963: Wenchao Li och Xiaolong Bai på Alibaba Group och Jubaer Alnazi Jabin på TRS företagsgrupp
Lades till 8 juni 2023
TCC
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-27931: Mickey Jin (@patch1t)
WebKit
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan kringgå principen för samma ursprung
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
WebKit Bugzilla: 248615
CVE-2023-27932: En anonym forskare
WebKit
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En webbplats kan spåra känslig användarinformation
Beskrivning: Problemet åtgärdades genom att ta bort information om ursprung.
WebKit Bugzilla: 250837
CVE-2023-27954: En anonym forskare
WebKit Web Inspector
Tillgänglig för: Apple TV 4K (alla modeller) och Apple TV HD
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
Lades till 8 juni 2023
Ytterligare tack
CFNetwork
Vi vill tacka en anonym forskare för hjälpen.
CoreServices
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
ImageIO
Vi vill tacka Meysam Firouzi @R00tkitSMM för hjälpen.
WebKit
Vi vill tacka en anonym forskare för hjälpen.