Проблеми системи безпеки, які усунено в оновленні tvOS 17.3

У цьому документі описано проблеми системи безпеки, які усунено в tvOS 17.3.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

tvOS 17.3

Apple Neural Engine

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-23212: Ye Zhang із Baidu Security

CoreCrypto

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: зловмисник може розшифрувати застарілі шифротексти RSA PKCS#1 версії 1.5 без приватного ключа.

Опис: проблему побічних каналів синхронізації усунено через поліпшення обчислень постійного часу в криптографічних функціях.

CVE-2024-23218: Clemens Lang

Kernel

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-23208: користувачі fmyy(@binary_fmyy) і lime із TIANGONG Team of Legendsec у QI-ANXIN Group

libxpc

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-23201: Koh M. Nakagawa з FFRI Security, Inc. і анонімний дослідник

NSSpellChecker

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-23223: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)

Power Manager

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може розкривати дані з пам’яті пошкодженого співпроцесора.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd.

TCC

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може переглядати номер телефону користувача в системних журналах.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-23210: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)

WebKit

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.

CVE-2024-23206: анонімний дослідник

WebKit

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-23213: Wangtaiyu із Zhongfu info

WebKit

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду. Компанії Apple відомо, що цією проблемою могли користуватися.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

CVE-2024-23222

WebKit

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: шкідливий вебсайт може несподівано призвести до неправильної поведінки.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-23271: James Lee (@Windowsrcer)

Додаткова подяка

NetworkExtension

Дякуємо за допомогу користувачу Nils Rollshausen.