Informace o bezpečnostním obsahu tvOS 17.3

Tento dokument popisuje bezpečnostní obsah tvOS 17.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

tvOS 17.3

Apple Neural Engine

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-23212: Ye Zhang z týmu Baidu Security

CoreCrypto

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Útočníkovi se může podařit dešifrovat starší šifrované texty RSA PKCS#1 v1.5 bez privátního klíče.

Popis: Časový útok postranním kanálem byl vyřešen vylepšením výpočtu časové konstanty v kryptografických funkcích.

CVE-2024-23218: Clemens Lang

Kernel

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-23208: fmyy (@binary_fmyy) a lime z týmu TIANGONG z Legendsec skupiny QI-ANXIN Group

libxpc

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-23201: Koh M. Nakagawa z FFRI Security, Inc. a anonymní výzkumník

NSSpellChecker

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním souborů.

CVE-2024-23223: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

Power Manager

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit narušit paměť koprocesoru.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd.

TCC

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit zobrazit telefonní číslo uživatele v protokolech systému.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

CVE-2024-23210: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Škodlivému webu se může podařit vytvořit reprezentaci uživatele.

Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.

CVE-2024-23206: anonymní výzkumník

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-23213: Wangtaiyu z týmu Zhongfu info

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být zneužit.

Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.

CVE-2024-23222

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Škodlivý web může způsobit neočekávané chování napříč původy.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-23271: James Lee (@Windowsrcer)

Další poděkování

NetworkExtension

Poděkování za pomoc zaslouží Nils Rollshausen.