เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 16.5
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 16.5
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
tvOS 16.5
เปิดตัวเมื่อวันที่ 18 พฤษภาคม 2023
Accessibility
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: สิทธิ์และสิทธิ์อนุญาตความเป็นส่วนตัวที่มอบให้แอปนี้อาจถูกใช้โดยแอปที่ประสงค์ร้าย
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-32400: Mickey Jin (@patch1t)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Accounts
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: ผู้โจมตีอาจทำให้อีเมลของบัญชีผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขโดยปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อน
CVE-2023-34352: Sergii Kryvoblotskyi จาก MacPaw Inc.
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
AppleMobileFileIntegrity
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-32411: Mickey Jin (@patch1t)
Core Location
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2023-32399: Adam M.
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
CoreServices
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงแก้ไขข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อมูลส่วนตัวของรายการบันทึก
CVE-2023-32392: Adam M.
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
ImageIO
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32372: Meysam Firouzi @R00tkitSMM จาก Mbition Mercedes-Benz Innovation Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
ImageIO
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลภาพอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2023-32384: Meysam Firouzi @R00tkitsmm ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOSurfaceAccelerator
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32354: Linus Henze จาก Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการอ่านข้อมูลหน่วยความจำเคอร์เนล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32420: ทีม CertiK SkyFall และ Linus Henze จาก Pinauten GmbH (pinauten.de)
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
Kernel
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-27930: 08Tc3wBB จาก Jamf
Kernel
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32398: Adam Doupé จาก ASU SEFCOM
Kernel
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) จาก Synacktiv (@Synacktiv) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
LaunchServices
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเลี่ยงการตรวจสอบของ Gatekeeper ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2023-32352: Wojciech Reguła (@_r3ggi) จาก SecuRing (wojciechregula.blog)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
MallocStackLogging
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Metal
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผล โมเดล 3D อาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงแก้ไขข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-32403: Adam M.
อัปเดตรายการเมื่อวันที่ 5 กันยายน 2023
NSURLSession
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจแยกตัวออกจาก Sandbox ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงโปรโตคอลการจัดการไฟล์
CVE-2023-32437: Thijs Alkemade (@) จาก Computest Sector 7
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Photos
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: รูปภาพที่อยู่ในอัลบั้มรูปภาพที่ซ่อนสามารถดูโดยไม่ได้รับการตรวจสอบสิทธิ์ได้ผ่าน Visual Lookup
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-32390: Julian Szulc
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Sandbox
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจยังคงเข้าถึงไฟล์การกำหนดค่าของระบบได้อยู่ แม้ว่าจะถูกเพิกถอนสิทธิ์อนุญาตแล้วก็ตาม
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa จาก FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) และ Csaba Fitzl (@theevilbit) จาก Offensive Security
Share Sheet
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว
CVE-2023-32432: Kirin (@Pwnrin)
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Shortcuts
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: คำสั่งลัดอาจสามารถใช้ข้อมูลสำคัญเพื่อดำเนินการบางอย่างโดยไม่แจ้งให้ผู้ใช้ทราบ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-32391: Wenchao Li และ Xiaolong Bai จาก Alibaba Group
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Shortcuts
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-32404: Zhipeng Huo (@R3dF09) จาก Tencent Security Xuanwu Lab (xlab.tencent.com), Mickey Jin (@patch1t) และนักวิจัยนิรนาม
เพิ่มรายการเมื่อวันที่ 5 กันยายน 2023
Siri
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: บุคคลที่สามารถเข้าใช้งานตัวเครื่องของอุปกรณ์อาจสามารถดูข้อมูลรายชื่อจากหน้าจอล็อคได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2023-32394: Khiem Tran
SQLite
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัดการบันทึก SQLite เพิ่มเติม
CVE-2023-32422: Gergely Kalman (@gergely_kalman) และ Wojciech Reguła จาก SecuRing (wojciechregula.blog)
อัปเดตรายการเมื่อวันที่ 2 มิถุนายน 2023
StorageKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงสิทธิ์ให้ดียิ่งขึ้น
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การตั้งค่าไฟร์วอลล์ของแอปอาจไม่มีผลหลังจากออกจากแอปการตั้งค่า
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2023-28202: Satish Panduranga และนักวิจัยนิรนาม
Telephony
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2023-32412: Ivan Fratric จาก Google Project Zero
TV App
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคช
CVE-2023-32408: Adam M.
Weather
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงแก้ไขข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-32415: Wojciech Regula จาก SecuRing (wojciechregula.blog) และ Adam M.
อัปเดตรายการเมื่อวันที่ 16 กรกฎาคม 2024
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
อัปเดตรายการเมื่อวันที่ 21 ธันวาคม 2023
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: ผู้โจมตีระยะไกลอาจแยกตัวออกจาก Sandbox ของคอนเทนต์เว็บได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne จาก Google's Threat Analysis Group และ Donncha Ó Cearbhaill จาก Amnesty International’s Security Lab
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บอาจเปิดเผยข้อมูลที่ละเอียดอ่อนได้ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
WebKit Bugzilla: 254930
CVE-2023-28204: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการตั้งใจใช้ประโยชน์จากปัญหานี้
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
WebKit Bugzilla: 254840
CVE-2023-32373: นักวิจัยนิรนาม
Wi-Fi
มีให้สำหรับ: Apple TV 4K (ทุกรุ่น) และ Apple TV HD
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.
คำขอบคุณพิเศษ
Accounts
เราขอขอบคุณสำหรับความช่วยเหลือจาก Sergii Kryvoblotskyi จาก MacPaw Inc.
CFNetwork
เราขอขอบคุณสำหรับความช่วยเหลือจาก Gabriel Geraldino de Souza
เพิ่มรายการเมื่อวันที่ 16 กรกฎาคม 2024
CloudKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Iconic
libxml2
เราขอขอบคุณสำหรับความช่วยเหลือจาก OSS-Fuzz และ Ned Williamson จาก Google Project Zero
Reminders
เราขอขอบคุณความช่วยเหลือจาก Kirin (@Pwnrin)
Security
เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Toms
Share Sheet
เราขอขอบคุณสำหรับความช่วยเหลือจาก Kirin (@Pwnrin)
Wallet
เราขอขอบคุณสำหรับความช่วยเหลือจาก James Duffy (mangoSecure)
Wi-Fi
เราขอขอบคุณสำหรับความช่วยเหลือจาก Adam M.
เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2023
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม