Informacije o sigurnosnom sadržaju sustava tvOS 17.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 17.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 17.3

Apple Neural Engine

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23212: Ye Zhang (Baidu Security)

CoreCrypto

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač bi mogao dešifrirati stare šifrirane tekstove RSA PKCS#1 v1.5, a da za to ne mora imati privatni ključ

Opis: problem s vremenskim odrednicama sporednog kanala riješen je uvođenjem poboljšanja u konstantnom izračunavanju vremena za kriptografske funkcije.

CVE-2024-23218: Clemens Lang

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23208: fmyy(@binary_fmyy) i lime iz tima TIANGONG Team of Legendsec (QI-ANXIN Group)

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-23201: Koh M. Nakagawa (FFRI Security, Inc.) i anonimni istraživač

NSSpellChecker

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.

CVE-2024-23223: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

Power Manager

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla oštetiti koprocesorsku memoriju

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)

TCC

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim rukovanjem privremenim datotekama.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla vidjeti korisnički broj telefona u zapisnicima sustava

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-23210: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2024-23206: anonimni istraživač

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23213: Wangtaiyu (Zhongfu info)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2024-23222

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerno web-mjesto može izazvati neočekivano ponašanje u vezi s resursima iz više izvora

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-23271: James Lee (@Windowsrcer)

Dodatna zahvala

NetworkExtension

Zahvaljujemo Akshayu Nagpalu na pomoći.