Om sikkerhedsindholdet i tvOS 17.6

I dette dokument beskrives sikkerhedsindholdet i tvOS 17.6.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 17.6

AppleMobileFileIntegrity

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40799: D4m0n

dyld

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-40815: w0wbox

Family Sharing

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2024-40795: Csaba Fitzl (@theevilbit) fra Kandji

ImageIO

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40806: Yisumi

ImageIO

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40777: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

ImageIO

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2024-40784: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Gandalf4a

Kernel

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En lokal hacker kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

libxpc

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2024-40805

Sandbox

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-40824: Wojciech Regula fra SecuRing (wojciechregula.blog) og Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2024-40779: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin fra Ant Group Light-Year Security Lab

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2024-40776: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40789: Seunghyun Lee (@0x10n) fra KAIST Hacking Lab, der arbejder med Trend Micro Zero Day Initiative

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44185: Gary Kwong

WebKit

Fås til: Apple TV HD og Apple TV 4K (alle modeller)

Effekt: En bruger kan muligvis omgå visse begrænsninger for webindhold

Beskrivelse: Et problem i forbindelse med håndtering af URL-protokoller er løst via forbedret logik.

CVE-2024-44206: Andreas Jaegersberger og Ro Achterberg