Informacije o sigurnosnom sadržaju sustava tvOS 18.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 18.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Informacije o sigurnosnom sadržaju sustava tvOS 18.1

App Support

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna aplikacija mogla bi pokretati proizvoljno odabrane prečace bez pristanka korisnika

Opis: problem s obradom putova riješen je poboljšanom logikom.

CVE-2024-44255: anonimni istraživač

AppleAVD

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

CoreMedia Playback

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell iz laboratorija Loadshine Lab

CoreText

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44240: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2024-44302: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Foundation

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44282: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-44215: Junsung Lee i inicijativa Zero Day (Trend Micro)

ImageIO

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44297: Jex Amro

IOSurface

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-44285: anonimni istraživač

Kernel

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44277: anonimni istraživač i Yinyi Wu (@_3ndy1) iz laboratorija Dawn Security Lab tvrtke JD.com, Inc.

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44296: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

WebKit

Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44244: anonimni istraživač, Q1IQ (@q1iqF) i P1umer (@p1umer)

Dodatna zahvala

ImageIO

Na pomoći zahvaljujemo Amiru Bazineu i Karstenu Königu (CrowdStrike Counter Adversary Operations) i anonimnom istraživaču.

NetworkExtension

Na pomoći zahvaljujemo Patricku Wardleu (DoubleYou) i organizaciji Objective-See Foundation.

Photos

Na pomoći zahvaljujemo Jamesu Robertsonu.

Security

Na pomoći zahvaljujemo Bingu Shiju, Wenchaou Liju i Xiaolongu Baiju (Alibaba Group).