เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 16.3
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 16.3
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
tvOS 16.3
เปิดตัวเมื่อวันที่ 24 มกราคม 2023
AppleMobileFileIntegrity
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต
CVE-2023-32438: Csaba Fitzl (@theevilbit) จาก Offensive Security และ Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
AppleMobileFileIntegrity
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
อธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปิดใช้งานรันไทม์ที่ยากขึ้น
CVE-2023-23499: Wojciech Reguła (@_r3ggi) จาก SecuRing (wojciechregula.blog)
Crash Reporter
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: ผู้ใช้อาจสามารถอ่านไฟล์โดยพลการภายใต้สิทธิ์ระดับราก
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2023-23520: Cees Elzinga
เพิ่มรายการเมื่อวันที่ 7 มิถุนายน 2023
FontParser
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลไฟล์แบบอักษรอาจนำไปสู่การเรียกใช้รหัสโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7.1
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2023-41990: Apple
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
ImageIO
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-23519: Meysam Firouzi @R00tkitSMM จาก Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) และ jzhu ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
Kernel
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยง
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23504: Adam Doupé จาก ASU SEFCOM
Maps
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-23503: นักวิจัยนิรนาม
Safari
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การเข้าเว็บไซต์ที่อาจนำไปสู่การปฏิเสธการให้บริการของแอป
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2023-23512: Adriatik Raci
Weather
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-23511: Wojciech Regula จาก SecuRing (wojciechregula.blog), นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลเนื้อหาเว็บอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
เพิ่มรายการเมื่อวันที่ 28 มิถุนายน 2023
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: เอกสาร HTML อาจแสดง iframe ที่มีข้อมูลผู้ใช้ที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุม Sandbox ของ iframe
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
เพิ่มรายการเมื่อวันที่ 7 มิถุนายน 2023
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren และ Hang Shu จาก Institute of Computing Technology, Chinese Academy of Sciences
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) จาก Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) จาก Team ApplePIE
คำขอบคุณพิเศษ
Core Data
เราขอขอบคุณสำหรับความช่วยเหลือจาก Austin Emmitt (@alkalinesec), นักวิจัยด้านความปลอดภัยอาวุโสที่ Trellix Advanced Research Center
เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Nick Stenning จาก Replicate
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Eliya Stein จาก Confiant
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม