À propos des correctifs de sécurité de tvOS 18
Ce document décrit les correctifs de sécurité de tvOS 18.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
tvOS 18
Publié le 16 septembre 2024
Game Center
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut accéder à des données sensibles de l’utilisateur.
Description : un problème d’accès aux fichiers a été résolu par une meilleure validation des entrées.
CVE-2024-40850 : Denis Tokarev (@illusionofcha0s)
ImageIO
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2024-27880 : Junsung Lee
ImageIO
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2024-44176 : dw0r de ZeroPointer Lab en collaboration avec le programme Zero Day Initiative de Trend Micro, un chercheur anonyme
IOSurfaceAccelerator
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut être en mesure de provoquer l’arrêt inopiné du système
Description : le problème a été résolu par une meilleure gestion de la mémoire.
CVE-2024-44169 : Antonio Zekić
Kernel
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app est susceptible d’obtenir un accès non autorisé au Bluetooth
Description : ce problème a été résolu par une meilleure gestion des états.
CVE-2024-44191 : Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) et Mathy Vanhoef
libxml2
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus
Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.
CVE-2024-44198 : OSS-Fuzz, Ned Williamson de Google Project Zero
mDNSResponder
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app pourrait être en mesure de provoquer un déni de service.
Description : une erreur de logique a été résolue par une meilleure gestion des erreurs.
CVE-2024-44183 : Olivier Levon
Model I/O
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner un déni de service
Description : une vulnérabilité est présente dans le code open source et les logiciels Apple font partie des projets concernés. La référence CVE a été attribuée par un tiers. Consultez le site cve.org pour en savoir plus sur le problème et la référence CVE.
CVE-2023-5841
SceneKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps
Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.
CVE-2024-44144 : 냥냥
Entrée ajoutée le 28 octobre 2024
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement de contenu web malveillant peut provoquer une injection de code indirect universel
Description : ce problème a été résolu par une meilleure gestion des états.
WebKit Bugzilla : 268724
CVE-2024-40857 : Ron Masas
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : un site web malveillant peut extraire des données provenant d’origines multiples
Description : un problème d’origines multiples existait au niveau des éléments « iframe ». Ce problème a été résolu par l’amélioration de la fonction de suivi des origines de sécurité.
WebKit Bugzilla : 279452
CVE-2024-44187 : Narendra Bhati, responsable de la cybersécurité à Suma Soft Pvt. Ltd, à Pune (Inde)
Wi-Fi
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : un attaquant peut forcer un appareil à se déconnecter d’un réseau sécurisé
Description : un problème d’intégrité a été résolu par la protection Beacon.
CVE-2024-40856 : Domien Schepers
Remerciements supplémentaires
Kernel
Nous tenons à remercier Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security pour leur aide.
WebKit
Nous tenons à remercier Avi Lumelsky d’Oligo Security, Uri Katz d’Oligo Security, Eli Grey (eligrey.com) et Johan Carlsson (joaxcar) pour leur aide.
Entrée mise à jour le 28 octobre 2024
Wi-Fi
Nous tenons à remercier Antonio Zekic (@antoniozekic) et ant4g0nist, Tim Michaud (@TimGMichaud) de Moveworks.ai pour leur aide.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.