tvOS 17,4'ün güvenlik içeriği hakkında

Bu belgede tvOS 17,4'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

tvOS 17,4

Accessibility

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçla oluşturulmuş bir uygulama, erişilebilirlik bildirimleriyle ilişkili günlük girişlerindeki kullanıcı bilgilerini izleyebilir.

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-23291

AppleMobileFileIntegrity

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, ayrıcalıkları yükseltebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23288: SecuRing'den Wojciech Regula (wojciechregula.blog) ve Kirin (@Pwnrin)

CoreBluetooth - LE

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, Bluetooth ile bağlı mikrofonlara kullanıcı izni olmadan erişebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2024-23250: Best Buddy Apps'ten Guilherme Rambo (rambo.codes)

file

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir dosyanın işlenmesi, servis reddine veya potansiyel olarak bellek içeriğinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2022-48554

Image Processing

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23270: anonim bir araştırmacı

ImageIO

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir görüntüyü işlemek rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2024-23286: Trend Micro Zero Day Initiative ile çalışan Junsung Lee, CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König, Dohyun Lee (@l33d0hyun) ve Lyutoon ve Mr.R

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-23235

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.

CVE-2024-23265: Xinru Chi, Pangu Lab

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23225

libxpc

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23278: anonim bir araştırmacı

libxpc

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, rastgele kodu kendi korumalı alanından veya belirli yükseltilmiş ayrıcalıklarla yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-0258: ali yabuz

MediaRemote

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlı bir uygulama, gizli bilgilere erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-23297: scj643

Metal

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm (Trend Micro Zero Day Initiative programıyla)

RTKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Rastgele çekirdek okuma ve yazma özelliğine sahip bir saldırgan, çekirdek bellek korumalarını atlayabilir. Apple, bu sorundan yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2024-23296

Sandbox

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23290: SecuRing'den Wojciech Regula (wojciechregula.blog)

Siri

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2024-23293: Bistrit Dahal

Spotlight

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2024-23241

UIKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-23246: Bundesamt für Sicherheit in der Informationstechnik sponsorluğundaki Deutsche Telekom Security GmbH

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23226: Pwn2car

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlı bir web sitesi kaynaklar arasında ses verileri sızdırabilir

Açıklama: Kullanıcı arabiriminin işlenmesi iyileştirilerek sorun giderildi.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlı olarak oluşturulmuş bir web sayfası kullanıcının benzersiz bir temsilini oluşturabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.

CVE-2024-23280: Anonim bir araştırmacı

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasını önleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-23284: Georg Felber ve Marco Squarcina

Ek teşekkür listesi

CoreAnimation

Junsung Lee'ye yardımı için teşekkür ederiz.

CoreMotion

Twin Cities App Dev LLC şirketinden Eric Dorphy'ye yardımı için teşekkür ederiz.

Kernel

Yardımları için Tarek Joumaa'ya (@tjkr0wn) teşekkür ederiz.

libxml2

Yardımları için OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.

libxpc

Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

Photos

Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia'ya (@abhay_kailasia) yardımı için teşekkür ederiz.

Power Management

STAR Labs SG Pte. Ltd. şirketinden Pan ZhenPeng'e (@Peterpan0927) yardımı için teşekkür ederiz.

Sandbox

Zhongquan Li'ye (@Guluisacat) yardımı için teşekkür ederiz.

Siri

Bistrit Dahal'a yardımı için teşekkür ederiz.

Software Update

Dublin City Üniversitesi'nden Bin Zhang'e yardımı için teşekkür ederiz.

WebKit

360 Vulnerability Research Institute'tan Nan Wang (@eternalsakura13), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina ve TU Wien'den Veronese'ye yardımları için teşekkür ederiz.