A tvOS 17.4 biztonsági változásjegyzéke
Ez a dokumentum a tvOS 17.4 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
tvOS 17.4
Kiadás dátuma: 2024. március 7.
Accessibility
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordulhatott, hogy rosszindulatú alkalmazások tudtak hozzáférni a kisegítő lehetőségekhez kötődő értesítések naplóbejegyzéseiben megtalálható felhasználói adatokhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-23291
AppleMobileFileIntegrity
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-23288: Wojciech Regula (SecuRing, wojciechregula.blog) és Kirin (@Pwnrin)
CoreBluetooth – LE
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Alkalmazások hozzáférhettek a Bluetoothon csatlakoztatott mikrofonokhoz a felhasználó engedélye nélkül.
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)
file
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-48554
Image Processing
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-23270: anonim kutató
ImageIO
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2024-23286: Junsung Lee (Trend Micro Zero Day Initiative), Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun), Lyutoon és Mr.R
Bejegyzés frissítve: 2024. május 31.
Kernel
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-23235
Kernel
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Kernel
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23225
libxpc
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23278: anonim kutató
libxpc
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egy alkalmazás bizonyos esetekben tetszőleges kódot tudott végrehajtani a tesztkörnyezetén kívül vagy bizonyos magasabb jogosultsági szint mellett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-0258: ali yabuz
MediaRemote
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23297: scj643
Metal
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm, a Trend Micro Zero Day Initiative közreműködőjeként)
RTKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23296
Sandbox
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2024-23290: Wojciech Regula (SecuRing, wojciechregula.blog)
Siri
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-23293: Bistrit Dahal
Spotlight
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-23241
UIKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-23246: Deutsche Telekom Security GmbH, a Bundesamt für Sicherheit in der Informationstechnik szponzorálásával
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni hangadatokat különböző forrásokból.
Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt lemásolni a felhasználót
Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.
WebKit Bugzilla: 266703
CVE-2024-23280: anonim kutató
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber és Marco Squarcina
További köszönetnyilvánítás
CoreAnimation
Köszönjük Junsung Lee segítségét.
CoreMotion
Köszönjük Eric Dorphy (Twin Cities App Dev LLC) segítségét.
Kernel
Köszönjük Tarek Joumaa (@tjkr0wn) segítségét.
libxml2
Köszönjük OSS-Fuzz, Ned Williamson (Google Project Zero) segítségét.
libxpc
Köszönjük Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) és egy anonim kutató segítségét.
Photos
Köszönjük Abhay Kailasia (@abhay_kailasia; Lakshmi Narain College of Technology, Bhopal) segítségét.
Power Management
Köszönjük Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.) segítségét.
Sandbox
Köszönjük Zhongquan Li (@Guluisacat) segítségét.
Siri
Köszönjük Bistrit Dahal segítségét.
Software Update
Köszönjük Bin Zhang (Dublin City University) segítségét.
WebKit
Köszönjük Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina és Lorenzo Veronese (TU Wien) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.