Acerca del contenido de seguridad de tvOS 18.1
En este documento se describe el contenido de seguridad de tvOS 18.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
Acerca del contenido de seguridad de tvOS 18.1
Disponible el 28 de octubre de 2024
App Support
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app creada con fines malintencionados podría ejecutar atajos arbitrarios sin el consentimiento del usuario.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la lógica.
CVE-2024-44255: investigador anónimo
AppleAVD
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado del sistema.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2024-44232: Ivan Fratric de Google Project Zero
CVE-2024-44233: Ivan Fratric de Google Project Zero
CVE-2024-44234: Ivan Fratric de Google Project Zero
Entrada añadida el 1 de noviembre de 2024
CoreMedia Playback
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app creada con fines malintencionados podría tener acceso a información privada.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell de Loadshine Lab
CoreText
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
CVE-2024-44240: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
Foundation
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: analizar un archivo de audio podría provocar la revelación de información del usuario.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2024-44282: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative
ImageIO
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: procesar una imagen podría provocar la revelación de la memoria de procesos.
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2024-44215: Junsung Lee en colaboración con Trend Micro Zero Day Initiative
ImageIO
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: el procesamiento de un mensaje creado con fines malintencionados podría provocar una denegación de servicio.
Descripción: el problema se ha solucionado mediante la mejora de la comprobación de límites.
CVE-2024-44297: Jex Amro
IOSurface
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.
Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.
CVE-2024-44285: investigador anónimo
Kernel
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app podría filtrar información confidencial sobre el estado del kernel.
Descripción: se ha solucionado un problema de revelación de información mediante mejorando la eliminación de datos privados para las entradas de registro.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: restaurar un archivo de copia de seguridad creado con fines malintencionados podría provocar la modificación de archivos protegidos del sistema.
Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: restaurar un archivo de copia de seguridad creado con fines malintencionados podría provocar la modificación de archivos protegidos del sistema.
Descripción: se ha solucionado un problema de lógica con la mejora de la gestión de archivos.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: una app podría provocar el cierre inesperado del sistema o daños en la memoria del kernel.
Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.
CVE-2024-44277: un investigador anónimo y Yinyi Wu(@_3ndy1) de Dawn Security Lab, de JD.com, Inc.
WebKit
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: el procesamiento de contenido web creado con fines malintencionados podría impedir que se aplique la política de seguridad de contenido.
Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, supervisor de ciberseguridad de Suma Soft Pvt. Ltd, Pune (India)
WebKit
Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)
Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
WebKit Bugzilla: 279780
CVE-2024-44244: un investigador anónimo, Q1IQ (@q1iqF) y P1umer (@p1umer)
Otros agradecimientos
ImageIO
Queremos dar las gracias a Amir Bazine y Karsten König de CrowdStrike Counter Adversary Operations, y a un investigador anónimo, por su ayuda.
NetworkExtension
Queremos dar las gracias a Patrick Wardle de DoubleYou y a la Objective-See Foundation por su ayuda.
Photos
Queremos dar las gracias a James Robertson por su ayuda.
Security
Queremos dar las gracias a Bing Shi, Wenchao Li y Xiaolong Bai de Alibaba Group por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.