Informacije o sigurnosnom sadržaju sustava tvOS 17.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 17.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 17.4

Objavljeno 7. ožujka 2024.

Accessibility

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna aplikacija mogla bi imati uvid u korisničke podatke u unosima zapisnika koji se odnose na obavijesti o pristupačnosti

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23291

AppleMobileFileIntegrity

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23288: Wojciech Regula (SecuRing (wojciechregula.blog)) i Kirin (@Pwnrin)

CoreBluetooth - LE

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti mikrofonima povezanim Bluetoothom bez dopuštenja korisnika

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)

file

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-48554

Image Processing

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23270: anonimni istraživač

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2024-23286: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro), Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun) te Lyutoon i Mr.R

Unos je ažuriran 31. svibnja 2024.

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-23235

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23225

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23278: anonimni istraživač

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-0258: ali yabuz

MediaRemote

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23297: scj643

Metal

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative (Trend Micro)

RTKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23296

Sandbox

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2024-23290: Wojciech Reguła (SecuRing) (wojciechregula.blog)

Siri

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-23293: Bistrit Dahal

Spotlight

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-23241

UIKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti.

WebKit Bugzilla: 266703

CVE-2024-23280: anonimni istraživač

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber i Marco Squarcina

Dodatna zahvala

CoreAnimation

Na pomoći zahvaljujemo Junsungu Leeju.

CoreMotion

Na pomoći zahvaljujemo Ericu Dorphyju (Twin Cities App Dev LLC).

Kernel

Na pomoći zahvaljujemo Tarku Joumaau (@tjkr0wn).

libxml2

Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.

libxpc

Na pomoći zahvaljujemo Rasmusu Stenu iz tvrtke F-Secure (Mastodon: @pajp@blog.dll.nu) i anonimnom istraživaču.

Photos

Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.

Power Management

Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd.

Sandbox

Na pomoći zahvaljujemo Zhongquanu Liju (@Guluisacat).

Siri

Na pomoći zahvaljujemo Bistritu Dahalu.

Software Update

Na pomoći zahvaljujemo Binu Zhangu (Dublin City University).

WebKit

Na pomoći zahvaljujemo Nanu Wangu (@eternalsakura13) s instituta 360 Vulnerability Research Institute te Valentinu Dalla Valleu, Pedru Bernardu, Marcu Squarcini i Lorenzu Veroneseu (TU Wien).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: