tvOS 16.4 リリース(2023.03.27)

(2023年3月31日掲載)

Appleより、tvOS 16.4 がリリースされました。
以下の点が更新されていますのでリリースノートより引用いたします。

tvOS 16.4
2023 年 3 月 27 日リリース

AppleMobileFileIntegrity

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:ユーザがファイルシステムの保護された部分へのアクセス権を取得できる可能性がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2023-23527:Mickey Jin 氏 (@patch1t)

Core Bluetooth

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:悪意を持って作成された Bluetooth パケットを処理すると、プロセスメモリが漏洩する可能性がある。

説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2023-23528:360 Vulnerability Research Institute の Jianjun Dai 氏および Guang Gong 氏

CoreCapture

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-28181:清華大学 (Tsinghua University) の Tingting Yin 氏

FontParser

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-27956:Baidu Security の Ye Zhang 氏

Foundation

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:悪意を持って作成された plist を解析すると、App が予期せず終了したり、任意のコードが実行されたりする可能性がある。

説明:入力検証を強化することで、整数オーバーフローに対処しました。

CVE-2023-27937:匿名の研究者

Identity Services

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:App がユーザの連絡先に関する情報にアクセスできる可能性がある。

説明:ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2023-27928:Offensive Security の Csaba Fitzl 氏 (@theevilbit)

ImageIO

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-23535:ryuzaki 氏

ImageIO

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明:入力検証を強化することで、領域外読み込みに対処しました。

CVE-2023-27929:Mbition Mercedes-Benz Innovation Lab の Meysam Firouzi 氏 (@R00tkitSMM) および Trend Micro Zero Day Initiative に協力する jzhu 氏

Kernel

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:App がカーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ管理を強化し、解放済みメモリ使用 (use-after-free) の脆弱性に対処しました。

CVE-2023-27969:ASU SEFCOM の Adam Doupé 氏

Kernel

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:ルート権限を持つ App が、カーネル権限で任意のコードを実行できる可能性がある。

説明:メモリ処理を改善することで、この問題に対処しました。

CVE-2023-27933:sqrtpwn 氏

Podcasts

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:App が重要なユーザデータにアクセスできる可能性がある。

説明:チェックを強化することで、この問題に対処しました。

CVE-2023-27942:Mickey Jin 氏 (@patch1t)

TCC

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:App が重要なユーザデータにアクセスできる可能性がある。

説明:この問題は、脆弱なコードを削除することで解決されました。

CVE-2023-27931:Mickey Jin 氏 (@patch1t)

WebKit

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:悪意を持って作成された Web コンテンツを処理すると、同一生成元ポリシーを回避される可能性がある。

説明:ステート管理を改善し、この問題に対処しました。

WebKit Bugzilla:248615
CVE-2023-27932:匿名の研究者

WebKit

対象:Apple TV 4K (すべてのモデル) および Apple TV HD

影響:Web サイトに重要なユーザ情報を追跡される可能性がある。

説明:この問題は、オリジン情報を削除することで解決されました。

WebKit Bugzilla:250837
CVE-2023-27954:匿名の研究者

ご協力いただいたその他の方々

CFNetwork

匿名の研究者のご協力に感謝いたします。

CoreServices

Mickey Jin 氏 (@patch1t) のご協力に感謝いたします。

ImageIO

Meysam Firouzi 氏 (@R00tkitSMM) のご協力に感謝いたします。

WebKit

匿名の研究者のご協力に感謝いたします。

Appleソフトウェア・アップデートのセキュリティコンテンツについては、以下のWebサイトをご覧ください

https://support.apple.com/ja-jp/HT201222

page top