เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 17.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 17.3

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการอัปเดตออกมาแล้ว รายการที่เผยแพร่ล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 17.3

Apple Neural Engine

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23212: Ye Zhang จาก Baidu Security

CoreCrypto

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัส Ciphertext RSA PKCS#1 v1.5 รุ่นเก่าได้โดยไม่ต้องมีกุญแจส่วนตัว

คําอธิบาย: ปัญหาการโจมตีช่องทางด้านข้างแบบกำหนดเวลาได้รับการแก้ไขแล้วด้วยการปรับปรุงการประมวลผลแบบเวลาคงที่ในฟังก์ชันการเข้ารหัส

CVE-2024-23218: Clemens Lang

Kernel

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23208: fmyy(@binary_fmyy) และ lime จากทีม TIANGONG ของ Legendsec ที่ QI-ANXIN Group

libxpc

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจทำให้เกิด Denial of Service ได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-23201: Koh M. Nakagawa จาก FFRI Security, Inc. และนักวิจัยนิรนาม

NSSpellChecker

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์

CVE-2024-23223: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

Power Manager

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจสามารถสร้างความเสียหายให้กับหน่วยความจำโปรเซสเซอร์ร่วมได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) จาก STAR Labs SG Pte. Ltd.

TCC

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้

คำอธิบาย: ปัญหาได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการไฟล์ชั่วคราว

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจสามารถดูหมายเลขโทรศัพท์ของผู้ใช้ในบันทึกระบบได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลที่ละเอียดอ่อนให้ดียิ่งขึ้น

CVE-2024-23210: Noah Roskin-Frazee และ Prof. J. (ZeroClicks.ai Lab)

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถสร้างเอกลักษณ์ที่ใช้ยืนยันตัวตนของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2024-23206: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-23213: Wangtaiyu จาก Zhongfu info

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่ามีการใช้ประโยชน์จากปัญหานี้

คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23222

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดลักษณะการทำงานแบบข้ามต้นทางที่ไม่คาดคิด

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2024-23271: James Lee (@Windowsrcer)

คำขอบคุณพิเศษ

NetworkExtension

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nils Rollshausen