Informace o bezpečnostním obsahu tvOS 18.3
Tento dokument popisuje bezpečnostní obsah tvOS 18.3.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
tvOS 18,3
Vydáno 27. ledna 2025
AirPlay
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Útočníkovi v místní síti se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť procesu.
Popis: Byl vyřešen problém s ověřováním vstupů.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Útočníkovi s vysokými oprávněními se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu a Xingwei Lin ze Zhejiang University
CoreAudio
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Parsování souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2025-24123: Desmond ve spolupráci se Zero Day Initiative společnosti Trend Micro
CVE-2025-24124: Pwn2car & Rotiple (HyeongSeok Jang) ve spolupráci se Zero Day Initiative společnosti Trend Micro
CoreMedia
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Škodlivé aplikaci se může podařit navýšit si oprávnění. Apple má informace o tom, že tento problém mohl být aktivně zneužit ve verzích iOS vydaných před iOS 17.2.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2025-24085
ImageIO
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování obrázku může vést k odepření služby.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2025-24086: DongJun Kim (@smlijun) a JongSeong Kim (@nevul37) v Enki WhiteHat, D4m0n
Kernel
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Škodlivé aplikaci se může podařit získat kořenová oprávnění.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2025-24107: anonymní výzkumník
Kernel
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s ověřováním byl vyřešen vylepšením logiky.
CVE-2025-24159: pattern-f (@pattern_F_)
SceneKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Parsování souboru může vést k odhalení uživatelských informací.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2025-24149: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování webového obsahu může vést k odepření služby.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) z NUS CuriOSity a P1umer (@p1umer) ze společnosti Imperial Global Singapore.
WebKit
K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením správy stavů.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy z týmu HKUS3Lab a chluo z týmu WHUSecLab
Další poděkování
Audio
Poděkování za pomoc zaslouží Google Threat Analysis Group.
CoreAudio
Poděkování za pomoc zaslouží Google Threat Analysis Group.
CoreMedia Playback
Poděkování za pomoc zaslouží Song Hyun Bae (@bshyuunn) a Lee Dong Ha (Who4mI).
Passwords
Poděkování za pomoc zaslouží Talal Haj Bakry a Tommy Mysk ze společnosti Mysk Inc. @mysk_co.
Static Linker
Poděkování za pomoc zaslouží Holger Fuhrmannek.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.