tvOS 17'nin güvenlik içeriği hakkında

Bu belgede tvOS 17'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

tvOS 17

Yayınlanma tarihi: 18 Eylül 2023

Airport

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri silme işlemi iyileştirilerek bir izin sorunu giderildi.

CVE-2023-40384: Adam M.

App Store

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40448: w0wbox

Apple Neural Engine

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Baidu Security'den Ye Zhang (@VAR10CK)

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-40410: Moveworks.ai'den Tim Michaud (@TimGMichaud)

AuthKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32361: Offensive Security'den Csaba Fitzl (@theevilbit)

Bluetooth

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir saldırgan kısıtlı sınırların dışında yazmaya neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-35984: zer0k

bootp

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-41065: Adam M., Noah Roskin-Frazee ve Prof. Jason Lau (ZeroClicks.ai Lab)

CFNetwork

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Uygulama Aktarım Güvenliği bir uygulamada yürütülemeyebilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-38596: Trail of Bits'ten Will Brattain

CoreAnimation

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40420: Cross Republic'ten 이준성 (Junsung Lee)

Core Data

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2023-40528: NorthSea'den Kirin (@Pwnrin)

Girişin eklenme tarihi: 22 Ocak 2024

Dev Tools

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-32396: Mickey Jin (@patch1t)

Game Center

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, kişilere erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40395: Offensive Security'den Csaba Fitzl (@theevilbit)

GPU Drivers

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40391: Dataflow Security'den Antonio Zekic (@antoniozekic)

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41981: Pinauten GmbH'den (pinauten.de) Linus Henze

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41984: STAR Labs SG Pte. Şirketinden Pan ZhenPeng (@Peterpan0927) şirketinden Pan ZhenPeng (@Peterpan0927)

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Doğrulama işlemi iyileştirilerek izin sorunu giderildi.

CVE-2023-40429: Michael (Biscuit) Thomas ve 张师傅 (@京东蓝军)

libpcap

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Uzaktaki bir kullanıcı, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-40400: Sei K.

libxpc

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, izni olmadan dosya silebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2023-40454: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

libxpc

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-41073: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

libxslt

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40403: PK Security'den Dohyun Lee (@l33d0hyun)

Maps

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40427: Adam M. ve SecuRing'den Wojciech Regula (wojciechregula.blog)

MobileStorageMounter

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir kullanıcı ayrıcalıkları yükseltebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2023-41068: Mickey Jin (@patch1t)

Photos Storage

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama geçici dizine kaydedilen düzenlenmiş fotoğraflara erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Pro Res

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41063: Certik Skyfall Ekibi

Sandbox

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, rastgele dosyaların üzerine yazabilir

Açıklama: Sınır denetimleri iyileştirilerek sorun giderildi.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Simulator

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

StorageKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, rastgele dosyaları okuyabilir

Açıklama: Sembolik bağlantıların doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2023-41968: Mickey Jin (@patch1t), James Hutchins

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee), Cross Republic ve Jie Ding(@Lime), HKUS3 Lab

Giriş güncellenme tarihi: 22 Aralık 2023

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

WebKit Bugzilla: 239758
CVE-2023-35074: Ajou Üniversitesi Abysslab'den Dong Jun Kim (@smlijun) ve Jong Seong Kim (@nevul37)

Giriş güncellenme tarihi: 22 Aralık 2023

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Giriş eklenme tarihi: 22 Aralık 2023

 

Ek teşekkür listesi

Airport

Yardımları için Adam M., Noah Roskin-Frazee ve Prof. Jason Lau'ya (ZeroClicks.ai Lab) teşekkür ederiz.

AppSandbox

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Audio

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

Bluetooth

Yardımları için 360 Vulnerability Research Institute kurumundan Jianjun Dai ve Guang Gong'a teşekkür ederiz.

Control Center

Yardımı için Chester van den Bogaard'a teşekkür ederiz.

Kernel

Yardımları için Toronto Üniversitesi Munk Okulundan Bill Marczak'a ve Google's Threat Analysis Group'tan Maddie Stone'a (永超 王) teşekkür ederiz.

libxml2

OSS-Fuzz ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

libxpc

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

libxslt

Yardımları için OSS-Fuzz'a, PK Security'den Dohyun Lee'ye (@l33d0hyun) ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.

NSURL

Yardımları için Zhanpeng Zhao'ya (行之) ve 糖豆爸爸 (@晴天组织) adlı kişiye teşekkür ederiz.

Photos

Yardımları için Dawid Pałuska'ya ve Kirin'e (@Pwnrin) teşekkür ederiz.

Photos Storage

Yardımı için SecuRing'den Wojciech Regula'ya (wojciechregula.blog) teşekkür ederiz.

Power Services

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz.

Shortcuts

Yardımları için Alfie CG'ye, Bundesamt für Sicherheit in der Informationstechnik'ten Christian Basting'e, "Tudor Vianu" Romanya Ulusal Bilgisayar Bilimleri Lisesinden Cristian Dinca'ya, Giorgos Christodoulidis'e, TRS Group Of Companies'den Jubaer Alnazi'ye, KRISHAN KANT DWIVEDI'ye (@xenonx7) ve Matthew Butler'a teşekkür ederiz.

Giriş güncellenme tarihi: 24 Nisan 2024

Software Update

Yardımı için Omar Siman'a teşekkür ederiz.

Spotlight

Yardımları için Dawid Pałuska'ya ve Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) teşekkür ederiz.

StorageKit

Mickey Jin'e (@patch1t) yardımı için teşekkür ederiz. 

WebKit

Yardımları için anonim bir araştırmacıya ve Suma Soft Pvt Ltd. şirketinden Khiem Tran'a ve Narendra Bhati'ye teşekkür ederiz.

Wi-Fi

Yardımları için Cyberserval'dan Wang Yu'ya teşekkür ederiz.

 

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: