เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 16.4

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 16.4

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 16.4

เปิดตัวเมื่อวันที่ 27 มีนาคม 2023

AppleMobileFileIntegrity

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: ผู้ใช้อาจเข้าถึงส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-23527: Mickey Jin (@patch1t)

ColorSync

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจอ่านไฟล์ได้โดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2023-27955: JeongOhKyea

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023

Core Bluetooth

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลแพ็กเก็ตบลูทูธที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2023-23528: Jianjun Dai และ Guang Gong จาก 360 Vulnerability Research Institute

CoreCapture

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-28181: Tingting Yin จาก Tsinghua University

FontParser

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-27956: Ye Zhang จาก Baidu Security

Foundation

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การแยกวิเคราะห์ plist ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-27937: นักวิจัยนิรนาม

Identity Services

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจเข้าถึงข้อมูลเกี่ยวกับรายชื่อติดต่อของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก

CVE-2023-27928: Csaba Fitzl (@theevilbit) จาก Offensive Security

ImageIO

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-23535: ryuzaki

ImageIO

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab และ Jzhu ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ImageIO

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-42862: Meysam Firouzi @R00tkitSMM

CVE-2023-42865: jzhu ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative และ Meysam Firouzi (@R00tkitSMM) จาก Mbition Mercedes-Benz Innovation Lab

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

Kernel

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2023-23536: Félix Poulin-Bélanger และ David Pan Ogea

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023, อัปเดตเมื่อวันที่ 21 ธันวาคม 2023

Kernel

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-27969: Adam Doupé จาก ASU SEFCOM

Kernel

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-27933: sqrtpwn

Kernel

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2023-28185: Pan ZhenPeng จาก STAR Labs SG Pte. Ltd.

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023

พ็อดคาสท์

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-27942: Mickey Jin (@patch1t)

Sandbox

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023

Shortcuts

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการตรวจสอบสิทธิ์อนุญาตเพิ่มเติม

CVE-2023-27963: Wenchao Li และ Xiaolong Bai จาก Alibaba Group และ Jubaer Alnazi Jabin จาก TRS Group Of Companies

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023

TCC

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2023-27931: Mickey Jin (@patch1t)

WebKit

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 248615

CVE-2023-27932: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: เว็บไซต์อาจสามารถติดตามข้อมูลที่มีความละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบข้อมูลต้นทางออก

WebKit Bugzilla: 250837

CVE-2023-27954: นักวิจัยนิรนาม

WebKit Web Inspector

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-28201: Dohyun Lee (@l33d0hyun) และ crixer (@pwning_me) จาก SSD Labs

เพิ่มรายการเมื่อวันที่ 8 มิถุนายน 2023

คำขอบคุณพิเศษ

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

CoreServices

เราขอขอบคุณสำหรับความช่วยเหลือจาก Mickey Jin (@patch1t)

ImageIO

เราขอขอบคุณสำหรับความช่วยเหลือจาก Meysam Firouzi @R00tkitSMM

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: