เกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 17.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 17.1

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 17.1

Core Recents

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการล้างการบันทึก

CVE-2023-42823

Game Center

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

ImageIO

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลรูปภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2023-42848: JZ

libxpc

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในการรูท

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขโดยปรับปรุงการจัดการ symlinks

CVE-2023-42942: Mickey Jin (@patch1t)

mDNSResponder

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ Wi-Fi MAC ของเครื่อง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2023-42846: Talal Haj Bakry และ Tommy Mysk จาก Mysk Inc. @mysk_co

Pro Res

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2023-42873: Mingxuan Yang (@PPPF00L) และ happybabywu และ Guang Gong จาก 360 Vulnerability Research Institute

Sandbox

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Siri

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2023-42946

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-40447: 이준성(Junsung Lee) จาก Cross Republic

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) และ Vitor Pedreira (@0xvhp_) จาก Agile Information Security

คำขอบคุณพิเศษ

VoiceOver

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhay Kailasia (@abhay_kailasia) จาก Lakshmi Narain College Of Technology Bhopal India

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม