Acerca del contenido de seguridad de tvOS 18.2

En este documento, se describe el contenido de seguridad de tvOS 18.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Los lanzamientos recientes aparecen en la página Versiones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre los aspectos de seguridad, consulta la página de seguridad de los productos Apple.

tvOS 18.2

AppleMobileFileIntegrity

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app creada con fines malintencionados pueda obtener acceso a información privada

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda acceder a datos confidenciales del usuario

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda acceder a datos confidenciales del usuario

Descripción: Se solucionó un problema de permisos mediante restricciones adicionales.

CVE-2024-54513: Un investigador anónimo

FontParser

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de un tipo de letra creado con fines malintencionados pueda ocasionar la divulgación de la memoria de un proceso

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-54486: Hossein Lotfi (@hosselot) del programa Zero Day Initiative de Trend Micro

ImageIO

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda provocar la divulgación de la memoria de un proceso

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-54500: Junsung Lee en colaboración con el programa Zero Day Initiative de Trend Micro

Kernel

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que un atacante pueda crear una asignación de memoria de solo lectura en la que se puede escribir

Descripción: Se solucionó un problema de condición de carrera mediante validaciones adicionales.

CVE-2024-54494: sohybbyk

Kernel

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda filtrar el estado confidencial del kernel

Descripción: Para solucionar un problema de condición de carrera, se mejoró el bloqueo.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) de MIT CSAIL

libexpat

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Esta es una vulnerabilidad en código abierto y el software de Apple está entre los proyectos afectados. Un proveedor independiente asignó el ID CVE. Obtén más información sobre el problema y el ID CVE en cve.org.

CVE-2024-45490

libxpc

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda salir de su zona protegida

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-54514: Un investigador anónimo

libxpc

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que una app pueda obtener privilegios elevados

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

SceneKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda ocasionar una denegación de servicio

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-54501: Michael DePlante (@izobashi) del programa Zero Day Initiative de Trend Micro

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoró la comprobación.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka de Google Project Zero

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar el cierre inesperado del proceso

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2024-54508: linjy de HKUS3Lab y chluo de WHUSecLab, Xiangwei Zhang de Tencent Security YUNDING LAB

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar daños en la memoria

Descripción: se mejoró el manejo de la memoria para solucionar un problema de confusión de tipo.

CVE-2024-54505: Gary Kwong

WebKit

Disponible para Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar daños en la memoria

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2024-54534: Tashita Software Security

Otros agradecimientos

FaceTime

Nos gustaría darle las gracias a 椰椰 por su ayuda.

Proximity

Nos gustaría darles las gracias a Junming C. (@Chapoly1305) y al Prof. Qiang Zeng de la Universidad de George Mason por su ayuda.

Swift

Nos gustaría darle las gracias a Marc Schoenefeld, Dr. rer. nat. por su ayuda.

WebKit

Nos gustaría darle las gracias a Hafiizh por su ayuda.