Tietoja tvOS 18:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 18:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
tvOS 18
Julkaistu 16.9.2024
Game Center
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2024-27880: Junsung Lee
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2024-44176: dw0r ZeroPointer Labista yhteistyössä Trend Micron Zero Day Initiativen kanssa, nimetön tutkija
IOSurfaceAccelerator
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-44169: Antonio Zekić
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef
libxml2
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)
mDNSResponder
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.
CVE-2024-44183: Olivier Levon
Model I/O
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2023-5841
SceneKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.
CVE-2024-44144: 냥냥
Kohta lisätty 28.10.2024
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)
Wi-Fi
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: hyökkääjä saattoi pystyä pakottamaan laitteen katkaisemaan yhteyden turvalliseen verkkoon.
Kuvaus: eheysongelma ratkaistiin Beacon Protectionin avulla.
CVE-2024-40856: Domien Schepers
Kiitokset
Kernel
Haluamme kiittää Braxton Andersonia ja Fakhri Zulkiflia (@d0lph1n98, PixiePoint Security) heidän antamastaan avusta.
WebKit
Haluamme kiittää avusta Avi Lumelskya (Oligo Security), Uri Katzia (Oligo Security), Eli Greyta (eligrey.com) ja Johan Carlssonia (joaxcar).
Kohta päivitetty 28.10.2024
Wi-Fi
Haluamme kiittää Antonio Zekiciä (@antoniozekic), nimimerkkiä ant4g0nist ja Tim Michaudia (@TimGMichaud, Moveworks.ai) heidän antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.