tvOS 16.5'in güvenlik içeriği hakkında

Bu belgede tvOS 16.5'in güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

tvOS 16.5

Accessibility

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bu uygulamaya verilen yetkiler ve gizlilik izinleri kötü amaçlı bir uygulama tarafından kullanılabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir saldırgan kullanıcı e-posta hesaplarını sızdırabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bir izin sorunu giderildi.

CVE-2023-34352: MacPaw Inc. şirketinden Sergii Kryvoblotskyi

AppleMobileFileIntegrity

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32411: Mickey Jin (@patch1t)

Core Location

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32399: Adam M.

CoreServices

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-28191: Mickey Jin (@patch1t)

GeoServices

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32392: Adam M.

ImageIO

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir görüntünün işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32372: Mbition Mercedes-Benz Innovation Lab'den Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)

IOSurfaceAccelerator

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32354: Pinauten GmbH'den (pinauten.de) Linus Henze

IOSurfaceAccelerator

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32420: CertiK SkyFall Ekibi ve Pinauten GmbH'den (pinauten.de) Linus Henze

Kernel

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Denetimler iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2023-27930: Jamf'ten 08Tc3wBB

Kernel

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32398: ASU SEFCOM'dan Adam Doupé

Kernel

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2023-32413: Synacktiv'den (@Synacktiv) Eloi Benoist-Vanderbeken (@elvanderb) (Trend Micro'nun Zero Day Initiative programıyla)

LaunchServices

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, Gatekeeper kontrollerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32352: SecuRing'den Wojciech Reguła (@_r3ggi) (wojciechregula.blog)

MallocStackLogging

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Dosya işleme iyileştirilerek bu sorun giderildi.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Metal

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir 3B modelin işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri silme işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32403: Adam M.

NSURLSession

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Dosya işleme protokolünde yapılan iyileştirmelerle sorun giderildi.

CVE-2023-32437: Computest Sector 7'dan Thijs Alkemade

Photos

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Gizli Fotoğraflar Albümü'nde yer alan fotoğraflar Görsel Arama aracılığıyla kimlik doğrulama olmadan görüntülenebiliyordu

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32390: Julian Szulc

Sandbox

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, izni iptal edildikten sonra da sistem konfigürasyonu dosyalarına erişmeye devam edebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), FFRI Security, Inc. şirketinden Koh M. Nakagawa, Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) ve Offensive Security'den Csaba Fitzl (@theevilbit)

Share Sheet

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32432: Kirin (@Pwnrin)

Shortcuts

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32391: Wenchao Li ve Alibaba Group'tan Xiaolong Bai

Shortcuts

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32404: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09), Mickey Jin (@patch1t) ve anonim bir araştırmacı

Siri

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Aygıta fiziksel erişimi olan bir kullanıcı, kilitli ekrandan kişi bilgilerini görüntüleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32394: Khiem Tran

SQLite

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek SQLite günlüğü kısıtlamaları eklenerek bu sorun giderildi.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) ve SecuRing'den Wojciech Reguła (wojciechregula.blog)

StorageKit

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Yetkiler iyileştirilerek bu sorun giderildi.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Ayarlar uygulamasından çıkıldıktan sonra bir uygulama güvenlik duvarı ayarı etkinleşmeyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2023-28202: Satish Panduranga ve anonim bir araştırmacı

Telephony

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32412: Google Project Zero'dan Ivan Fratric

TV App

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32408: Adam M.

Weather

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri silme işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32415: SecuRing'den Wojciech (wojciechregula.blog) ve Adam M.

WebKit

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

WebKit Bugzilla: 255075

CVE-2023-32402: Ignacio Sanmillan (@ulexec)

WebKit

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

WebKit Bugzilla: 254781

CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

WebKit Bugzilla: 255350

CVE-2023-32409: Google Threat Analysis Group'tan Clément Lecigne ve Amnesty International Security Lab'den Donncha Ó Cearbhaill

WebKit

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

WebKit Bugzilla: 254930

CVE-2023-28204: anonim bir araştırmacı

WebKit

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 254840

CVE-2023-32373: anonim bir araştırmacı

Wi-Fi

İlgili ürünler: Apple TV 4K (tüm modeller) ve Apple TV HD

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32389: STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng (@Peterpan0927) Saketh Reddy Malepu

Ek teşekkür listesi

Accounts

MacPaw Inc. şirketinden Sergii Kryvoblotskyi'ye yardımı için teşekkür ederiz.

CFNetwork

Gabriel Geraldino de Souza'ya yardımı için teşekkür ederiz.

CloudKit

Iconic'e yardımı için teşekkür ederiz.

libxml2

OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

Reminders

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Security

Brandon Toms'a yardımı için teşekkür ederiz.

Share Sheet

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Wallet

James Duffy'ye (mangoSecure) yardımı için teşekkür ederiz.

Wi-Fi

Adam M.ye yardımı için teşekkür ederiz.