Acerca del contenido de seguridad de tvOS 18
En este documento se describe el contenido de seguridad de tvOS 18.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
tvOS 18
Publicado el 16 de septiembre de 2024
Game Center
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app podría acceder a datos confidenciales de los usuarios
Descripción: se ha solucionado un problema de acceso a archivos mediante la mejora de la validación de las entradas.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.
CVE-2024-27880: Junsung Lee
ImageIO
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar una imagen podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.
CVE-2024-44176: dw0r de ZeroPointer Lab en colaboración con Trend Micro Zero Day Initiative y un investigador anónimo
IOSurfaceAccelerator
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una aplicación puede provocar una terminación inesperada del sistema
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-44169: Antonio Zekić
Kernel
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una aplicación podría obtener acceso no autorizado a Bluetooth.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) y Mathy Vanhoef
libxml2
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2024-44198: OSS-Fuzz y Ned Williamson de Google Project Zero.
mDNSResponder
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una aplicación puede provocar una denegación de servicio.
Descripción: se ha solucionado un error de lógica con la mejora de la gestión de errores.
CVE-2024-44183: Olivier Levon
Model I/O
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.
Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.
CVE-2023-5841
SceneKit
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.
Descripción: se ha solucionado un desbordamiento de búfer mejorando la validación del tamaño.
CVE-2024-44144: 냥냥
Entrada añadida el 28 de octubre de 2024
WebKit
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.
Descripción: para resolver este problema se ha mejorado la gestión del estado.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados
Descripción: existía un problema de orígenes cruzados con elementos “iframe”. Este problema se ha solucionado mejorando el seguimiento de los orígenes de seguridad.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India)
Wi-Fi
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: un atacante puede ser capaz de forzar a un dispositivo a desconectarse de una red segura.
Descripción: se ha solucionado un problema de integridad con la protección de balizas.
CVE-2024-40856: Domien Schepers.
Otros agradecimientos
Kernel
Queremos dar gracias a Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security por su ayuda.
WebKit
Queremos dar las gracias por su ayuda a Avi Lumelsky de Oligo Security, Uri Katz de Oligo Security, Eli Grey (eligrey.com) y Johan Carlsson (joaxcar).
Entrada actualizada el 28 de octubre de 2024
Wi-Fi
Queremos dar las gracias a Antonio Zekic (@antoniozekic) and ant4g0nist, Tim Michaud (@TimGMichaud) de Moveworks.ai por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.