เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 16.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 16.3

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 16.3

เปิดตัวเมื่อวันที่ 24 มกราคม 2023

AppleMobileFileIntegrity

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบเพื่อป้องกันการกระทำที่ไม่ได้รับอนุญาต

CVE-2023-32438: Csaba Fitzl (@theevilbit) จาก Offensive Security และ Mickey Jin (@patch1t)

เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023

AppleMobileFileIntegrity

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

อธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปิดใช้งานรันไทม์ที่ยากขึ้น

CVE-2023-23499: Wojciech Reguła (@_r3ggi) จาก SecuRing (wojciechregula.blog)

Crash Reporter

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: ผู้ใช้อาจสามารถอ่านไฟล์โดยพลการภายใต้สิทธิ์ระดับราก

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2023-23520: Cees Elzinga

เพิ่มรายการเมื่อวันที่ 7 มิถุนายน 2023

FontParser

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์แบบอักษรอาจนำไปสู่การเรียกใช้รหัสโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7.1

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช

CVE-2023-41990: Apple

เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023

ImageIO

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-23519: Meysam Firouzi @R00tkitSMM จาก Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) และ jzhu ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023

Kernel

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจทำให้สถานะเคอร์เนลที่ละเอียดอ่อนรั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยง

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-23504: Adam Doupé จาก ASU SEFCOM

Maps

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-23503: นักวิจัยนิรนาม

Safari

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การเข้าเว็บไซต์ที่อาจนำไปสู่การปฏิเสธการให้บริการของแอป

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช

CVE-2023-23512: Adriatik Raci

Weather

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-23511: Wojciech Regula จาก SecuRing (wojciechregula.blog), นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลเนื้อหาเว็บอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 248885

CVE-2023-32393: Francisco Alonso (@revskills)

เพิ่มรายการเมื่อวันที่ 28 มิถุนายน 2023

WebKit

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: เอกสาร HTML อาจแสดง iframe ที่มีข้อมูลผู้ใช้ที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุม Sandbox ของ iframe

WebKit Bugzilla: 241753

CVE-2022-0108: Luan Herrera (@lbherrera_)

เพิ่มรายการเมื่อวันที่ 7 มิถุนายน 2023

WebKit

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

WebKit Bugzilla: 245464

CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren และ Hang Shu จาก Institute of Computing Technology, Chinese Academy of Sciences

WebKit

มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 248268

CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) จาก Team ApplePIE

WebKit Bugzilla: 248268

CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) จาก Team ApplePIE

คำขอบคุณพิเศษ

Core Data

เราขอขอบคุณสำหรับความช่วยเหลือจาก Austin Emmitt (@alkalinesec), นักวิจัยด้านความปลอดภัยอาวุโสที่ Trellix Advanced Research Center

เพิ่มรายการเมื่อวันที่ 8 กันยายน 2023

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nick Stenning จาก Replicate

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Eliya Stein จาก Confiant

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: