À propos des correctifs de sécurité de tvOS 18
Ce document décrit les correctifs de sécurité de tvOS 18.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
tvOS 18
Publié le 16 septembre 2024
Game Center
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.
Description : un problème d’accès aux fichiers a été résolu par une meilleure validation des entrées.
CVE-2024-40850 : Denis Tokarev (@illusionofcha0s)
ImageIO
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2024-27880 : Junsung Lee
ImageIO
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2024-44176 : dw0r de ZeroPointer Lab travaillant avec Trend Micro Zero Day Initiative, un chercheur anonyme.
IOSurfaceAccelerator
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2024-44169 : Antonio Zekić
Kernel
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut obtenir un accès non autorisé à Bluetooth.
Description : ce problème a été résolu par une meilleure gestion des états.
CVE-2024-44191 : Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) et Mathy Vanhoef
libxml2
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.
Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.
CVE-2024-44198 : OSS-Fuzz et Ned Williamson de Google Project Zero
mDNSResponder
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut être à l’origine d’un déni de service.
Description : une erreur de logique a été résolu par une gestion améliorée des erreurs.
CVE-2024-44183 : Olivier Levon
Model I/O
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner un déni de service.
Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. L’identifiant CVE-ID a été attribué par un tiers. Apprenez-en davantage sur le problème et l’identifiant CVE-ID sur le site cve.org.
CVE-2023-5841
SceneKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.
Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.
CVE-2024-44144 : 냥냥
Entrée ajoutée le 28 octobre 2024
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution universelle de scripts intersites.
Description : ce problème a été résolu par une meilleure gestion des états.
WebKit Bugzilla : 268724
CVE-2024-40857 : Ron Masas
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : un site Web malveillant peut extraire des données provenant d’origines multiples
Description : un problème d’origines multiples existait au niveau des éléments « iframe ». Ce problème a été résolu par l’amélioration de la fonction de suivi des origines de sécurité.
WebKit Bugzilla : 279452
CVE-2024-44187 : Narendra Bhati, directeur de la cybersécurité chez Suma Soft Pvt. Ltd, Pune (Inde)
Wi-Fi
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : un attaquant peut être en mesure de forcer un appareil à se déconnecter d’un réseau sécurisé.
Description : un problème d’intégrité a été résolu avec la protection des balises.
CVE-2024-40856 : Domien Schepers
Remerciements supplémentaires
Kernel
Nous tenons à remercier Braxton Anderson et Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security pour leur aide.
WebKit
Nous tenons à remercier Avi Lumelsky d’Oligo Security, Uri Katz d’Oligo Security, Eli Grey (eligrey.com) et Johan Carlsson (joaxcar) pour leur aide.
Entrée mise à jour le 28 octobre 2024
Wi-Fi
Nous tenons à remercier Antonio Zekic (@antoniozekic), ant4g0nist et Tim Michaud (@TimGMichaud) de Moveworks.ai pour leur aide.
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.