Informace o bezpečnostním obsahu tvOS 18
Tento dokument popisuje bezpečnostní obsah tvOS 18.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
tvOS 18
Vydáno 16. září 2024
Game Center
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s přístupem k souborům byl vyřešen vylepšením ověřování vstupů.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupu.
CVE-2024-27880: Junsung Lee
ImageIO
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování obrázku může vést k odepření služby.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2024-44176: dw0r ze ZeroPointer Lab ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro, anonymní výzkumník
IOSurfaceAccelerator
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2024-44169: Antonio Zekić
Kernel
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikace může získat neoprávněný přístup k Bluetooth.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef
libxml2
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.
CVE-2024-44198: OSS-Fuzz, Ned Williamson z týmu Google Project Zero
mDNSResponder
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Chyba v logice byla vyřešena vylepšením zpracování chyb.
CVE-2024-44183: Olivier Levon
Model I/O
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.
Popis: Jedná se o slabinu v open source kódu a Apple Software patří mezi ovlivněné projekty. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2023-5841
SceneKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.
CVE-2024-44144: 냥냥
Záznam přidán 28. října 2024
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.
Popis: Problém byl vyřešen vylepšením správy stavů.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Škodlivý web může získat data napříč původy.
Popis: V prvcích iframe existoval problém se získáváním dat napříč původy. Problém byl vyřešen vylepšením sledování bezpečnostních původů.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)
Wi-Fi
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Útočník může vynutit odpojení zařízení ze zabezpečené sítě.
Popis: Problém s integritou byl vyřešen službou Beacon Protection.
CVE-2024-40856: Domien Schepers
Další poděkování
Kernel
Poděkování za pomoc zaslouží Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) ze společnosti PixiePoint Security.
WebKit
Poděkování za pomoc zaslouží Avi Lumelsky a Uri Katz ze společnosti Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar).
Záznam aktualizován 28. října 2024
Wi-Fi
Poděkování za pomoc zaslouží Antonio Zekic (@antoniozekic) a ant4g0nist, Tim Michaud (@TimGMichaud) ze společnosti Moveworks.ai.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.