Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 17.4

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 17.4.

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

tvOS 17.4

Κυκλοφόρησε στις 7 Μαρτίου 2024

Accessibility

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να έχει τη δυνατότητα να δει δεδομένα χρήστη σε εγγραφές του αρχείου καταγραφής που σχετίζονται με ειδοποιήσεις προσβασιμότητας

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2024-23291

AppleMobileFileIntegrity

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2024-23288: Wojciech Regula της SecuRing (wojciechregula.blog) και Kirin (@Pwnrin)

CoreBluetooth - LE

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να έχε πρόσβαση σε μικρόφωνα συνδεδεμένα μέσω Bluetooth χωρίς την άδεια του χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2024-23250: Guilherme Rambo της Best Buddy Apps (rambo.codes)

file

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Η επεξεργασία ενός αρχείου μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-48554

Image Processing

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-23270: ανώνυμος ερευνητής

ImageIO

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-23286: Junsung Lee σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro, Amir Bazine και Karsten König της CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) και Lyutoon και Mr.R

Η καταχώριση ενημερώθηκε στις 31 Μαΐου 2024

Kernel

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2024-23235

Kernel

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2024-23265: Xinru Chi του Pangu Lab

Kernel

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τις προστασίες μνήμης του πυρήνα. Η Apple είναι ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2024-23225

libxpc

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-23278: ανώνυμος ερευνητής

libxpc

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα από το προστατευμένο περιβάλλον της ή με ορισμένα αυξημένα προνόμια

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-0258: ali yabuz

MediaRemote

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε απόρρητες πληροφορίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-23297: scj643

Metal

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

RTKit

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τις προστασίες μνήμης του πυρήνα. Η Apple είναι ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2024-23296

Sandbox

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2024-23290: Wojciech Regula της SecuRing (wojciechregula.blog)

Siri

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση ενδέχεται να μπορέσει να χρησιμοποιήσει το Siri για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-23293: Bistrit Dahal

Spotlight

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-23241

UIKit

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2024-23246: Deutsche Telekom Security GmbH με την υποστήριξη του Bundesamt für Sicherheit in der Informationstechnik

WebKit

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα ήχου μεταξύ προελεύσεων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Μια κακόβουλη ιστοσελίδα ενδέχεται να μπορεί να δημιουργήσει μια μοναδική αναπαράσταση του χρήστη

Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

WebKit Bugzilla: 266703

CVE-2024-23280: ανώνυμος ερευνητής

WebKit

Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber και Marco Squarcina

Επιπλέον αναγνώριση

CoreAnimation

Θα θέλαμε να ευχαριστήσουμε τον Junsung Lee για τη βοήθειά του.

CoreMotion

Θα θέλαμε να ευχαριστήσουμε τον Eric Dorphy της Twin Cities App Dev LLC για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Tarek Joumaa (@tjkr0wn) για τη βοήθειά του.

libxml2

Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.

libxpc

Θα θέλαμε να ευχαριστήσουμε τον Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Photos

Θα θέλαμε να ευχαριστήσουμε τον Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College Of Technology Bhopal για τη βοήθειά του.

Power Management

Θα θέλαμε να ευχαριστήσουμε τον Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd. για τη βοήθειά του.

Sandbox

Θα θέλαμε να ευχαριστήσουμε τον Zhongquan Li (@Guluisacat) για τη βοήθειά του.

Siri

Θα θέλαμε να ευχαριστήσουμε τον Bistrit Dahal για τη βοήθειά του.

Software Update

Θα θέλαμε να ευχαριστήσουμε τον Bin Zhang του Dublin City University για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Nan Wang (@eternalsakura13) του 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina και Lorenzo Veronese του TU Wien για τη βοήθειά τους.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: