Tietoja tvOS 17.6:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 17.6:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
tvOS 17.6
Julkaistu 29.7.2024
AppleMobileFileIntegrity
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40799: D4m0n
dyld
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-40815: w0wbox
Perhejako
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2024-40795: Csaba Fitzl (@theevilbit, Kandji)
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40806: Yisumi
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2024-40777: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen sekä Amir Bazinen ja Karsten Königin (CrowdStrike Counter Adversary Operations) kanssa
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40784: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen ja Gandalf4a:n kanssa
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: paikallinen hyökkääjä voi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-40788: Minghao Lin ja Jiaxun Zhu (Zhejiang University)
libxpc
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2024-40805
Sandbox
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-40824: Wojciech Regula (SecuRing, wojciechregula.blog) ja Zhongquan Li (@Guluisacat, Dawn Security Lab of JingDong)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab) yhdessä Trend Micro Zero Day Initiativen kanssa
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Kohta lisätty 15.10.2024
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: käyttäjä saattoi pystyä ohittamaan joitakin verkkosisältöä koskevia rajoituksia.
Kuvaus: URL-protokollien käsittelyyn liittyvä ongelma on ratkaistu parantamalla logiikkaa.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger ja Ro Achterberg
Kohta lisätty 15.10.2024
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.