Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 17.4
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 17.4.
Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
tvOS 17.4
Κυκλοφόρησε στις 7 Μαρτίου 2024
Accessibility
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να έχει τη δυνατότητα να δει δεδομένα χρήστη σε εγγραφές του αρχείου καταγραφής που σχετίζονται με ειδοποιήσεις προσβασιμότητας
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2024-23291
AppleMobileFileIntegrity
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2024-23288: Wojciech Regula της SecuRing (wojciechregula.blog) και Kirin (@Pwnrin)
CoreBluetooth - LE
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να έχε πρόσβαση σε μικρόφωνα συνδεδεμένα μέσω Bluetooth χωρίς την άδεια του χρήστη
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
CVE-2024-23250: Guilherme Rambo της Best Buddy Apps (rambo.codes)
file
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Η επεξεργασία ενός αρχείου μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-48554
Image Processing
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-23270: ανώνυμος ερευνητής
ImageIO
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-23286: Junsung Lee σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro, Amir Bazine και Karsten König της CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) και Lyutoon και Mr.R
Η καταχώριση ενημερώθηκε στις 31 Μαΐου 2024
Kernel
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.
CVE-2024-23235
Kernel
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα
Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2024-23265: Xinru Chi του Pangu Lab
Kernel
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τις προστασίες μνήμης του πυρήνα. Η Apple είναι ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2024-23225
libxpc
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-23278: ανώνυμος ερευνητής
libxpc
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα από το προστατευμένο περιβάλλον της ή με ορισμένα αυξημένα προνόμια
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-0258: ali yabuz
MediaRemote
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε απόρρητες πληροφορίες
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-23297: scj643
Metal
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
RTKit
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τις προστασίες μνήμης του πυρήνα. Η Apple είναι ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2024-23296
Sandbox
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2024-23290: Wojciech Regula της SecuRing (wojciechregula.blog)
Siri
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση ενδέχεται να μπορέσει να χρησιμοποιήσει το Siri για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2024-23293: Bistrit Dahal
Spotlight
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2024-23241
UIKit
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2024-23246: Deutsche Telekom Security GmbH με την υποστήριξη του Bundesamt für Sicherheit in der Informationstechnik
WebKit
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα ήχου μεταξύ προελεύσεων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Μια κακόβουλη ιστοσελίδα ενδέχεται να μπορεί να δημιουργήσει μια μοναδική αναπαράσταση του χρήστη
Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
WebKit Bugzilla: 266703
CVE-2024-23280: ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV HD και Apple TV 4K (όλα τα μοντέλα)
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber και Marco Squarcina
Επιπλέον αναγνώριση
CoreAnimation
Θα θέλαμε να ευχαριστήσουμε τον Junsung Lee για τη βοήθειά του.
CoreMotion
Θα θέλαμε να ευχαριστήσουμε τον Eric Dorphy της Twin Cities App Dev LLC για τη βοήθειά του.
Kernel
Θα θέλαμε να ευχαριστήσουμε τον Tarek Joumaa (@tjkr0wn) για τη βοήθειά του.
libxml2
Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.
libxpc
Θα θέλαμε να ευχαριστήσουμε τον Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) και έναν ανώνυμο ερευνητή για τη βοήθειά τους.
Photos
Θα θέλαμε να ευχαριστήσουμε τον Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College Of Technology Bhopal για τη βοήθειά του.
Power Management
Θα θέλαμε να ευχαριστήσουμε τον Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd. για τη βοήθειά του.
Sandbox
Θα θέλαμε να ευχαριστήσουμε τον Zhongquan Li (@Guluisacat) για τη βοήθειά του.
Siri
Θα θέλαμε να ευχαριστήσουμε τον Bistrit Dahal για τη βοήθειά του.
Software Update
Θα θέλαμε να ευχαριστήσουμε τον Bin Zhang του Dublin City University για τη βοήθειά του.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους Nan Wang (@eternalsakura13) του 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina και Lorenzo Veronese του TU Wien για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.