tvOS 17.4'ün güvenlik içeriği hakkında
Bu belgede tvOS 17.4'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
tvOS 17.4
Yayınlanma tarihi: 7 Mart 2024
Accessibility
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Kötü amaçlarla oluşturulmuş bir uygulama, erişilebilirlik bildirimleriyle ilgili günlük girişlerindeki kullanıcı verilerini gözlemleyebilir
Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.
CVE-2024-23291
AppleMobileFileIntegrity
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, ayrıcalıkları yükseltebilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2024-23288: Wojciech Regula, SecuRing (wojciechregula.blog) ve Kirin (@Pwnrin)
CoreBluetooth - LE
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, kullanıcının izni olmadan Bluetooth bağlantılı mikrofonlara erişebilir
Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.
CVE-2024-23250: Guilherme Rambo, Best Buddy Apps (rambo.codes)
file
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir dosyanın işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2022-48554
Image Processing
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2024-23270: Anonim bir araştırmacı
ImageIO
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2024-23286: Trend Micro Zero Day Initiative ile çalışan Junsung Lee, CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König, Dohyun Lee (@l33d0hyun) ve Lyutoon ve Mr.R
Giriş güncellenme tarihi: 31 Mayıs 2024
Kernel
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Ek doğrulama ile bir yarış durumu giderildi.
CVE-2024-23235
Kernel
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.
CVE-2024-23265: Pangu Lab'den Xinru Chi
Kernel
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Rastgele çekirdek okuma ve yazma olanağına sahip bir saldırgan, çekirdek belleği korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2024-23225
libxpc
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, korumalı alanını ihlal edebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2024-23278: Anonim bir araştırmacı
libxpc
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, rastgele kodu kendi korumalı alanından veya belirli yükseltilmiş ayrıcalıklarla yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
CVE-2024-0258: ali yabuz
MediaRemote
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Kötü amaçlarla oluşturulmuş bir uygulama, gizli bilgilere erişebilir
Açıklama: Denetimler iyileştirilerek sorun giderildi.
CVE-2024-23297: scj643
Metal
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2024-23264: Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)
RTKit
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Rastgele çekirdek okuma ve yazma olanağına sahip bir saldırgan, çekirdek belleği korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2024-23296
Sandbox
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir
Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2024-23290: Wojciech Regula, SecuRing (wojciechregula.blog)
Siri
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir
Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.
CVE-2024-23293: Bistrit Dahal
Spotlight
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir
Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.
CVE-2024-23241
UIKit
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Bir uygulama, korumalı alanını ihlal edebilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2024-23246: Bundesamt für Sicherheit in der Informationstechnik sponsorluğunda Deutsche Telekom Security GmbH
WebKit
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Web içeriğinin işlenmesi servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 263758
CVE-2024-54658: SecANT'ten anbu1024
Giriş eklenme tarihi: 5 Şubat 2025
WebKit
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit Bugzilla: 263001
CVE-2024-27859: Pwn2car
Giriş eklenme tarihi: 7 Mart 2024, giriş güncellenme tarihi: 5 Şubat 2025
WebKit
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında ses verileri sızdırabilir
Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.
WebKit Bugzilla: 266703
CVE-2024-23280: anonim bir araştırmacı
WebKit
İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber ve Marco Squarcina
Ek teşekkür listesi
CoreAnimation
Yardımları için Junsung Lee'ye teşekkür ederiz.
CoreMotion
Yardımları için Twin Cities App Dev LLC'den Eric Dorphy'ye teşekkür ederiz.
Kernel
Yardımları için Tarek Joumaa'ya (@tjkr0wn) teşekkür ederiz.
libxml2
Yardımları için OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.
libxpc
Yardımları için Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) ve anonim bir araştırmacıya teşekkür ederiz.
Photos
Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.
Power Management
Yardımları için STAR Labs SG Pte Ltd. şirketinden Pan ZhenPeng'e (@Peterpan0927) teşekkür ederiz.
Sandbox
Yardımları için Zhongquan Li'ye (@Guluisacat) teşekkür ederiz.
Siri
Yardımları için Bistrit Dahal'a teşekkür ederiz.
Software Update
Yardımları için Dublin City University'den Bin Zhang'e teşekkür ederiz.
WebKit
Yardımları için 360 Vulnerability Research Institute'tan Nan Wang'e (@eternalsakura13), TU Wien'den Lorenzo Veronese'ye, Valentino Dalla Valle'ye, Pedro Bernardo'ya ve Marco Squarcina'ya teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.