Informacije o sigurnosnom sadržaju sustava tvOS 17.6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 17.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

tvOS 17.6

AppleMobileFileIntegrity

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40799: D4m0n

dyld

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-40815: w0wbox

Family Sharing

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-40795: Csaba Fitzl (@theevilbit) (Kandji)

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40806: Yisumi

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40777: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40784: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i korisnik Gandalf4a

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: lokalni napadač mogao bi odrediti raspored elemenata kernelske memorije

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40788: Minghao Lin i Jiaxun Zhu sa Sveučilišta Zhejiang

libxpc

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-40805

Sandbox

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-40824: Wojciech Regula (SecuRing) (wojciechregula.blog) i Zhongquan Li (@Guluisacat) (Dawn Security Lab of JingDong)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40789: Seunghyun Lee (@0x10n) (KAIST Hacking Lab) u suradnji s projektom Zero Day Initiative (Trend Micro)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44185: Gary Kwong

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: korisnik može zaobići neka ograničenja web sadržaja

Opis: problem u rukovanju URL protokolima riješen je poboljšanom logikom.

CVE-2024-44206: Andreas Jaegersberger i Ro Achterberg