Informacije o sigurnosnom sadržaju sustava tvOS 18.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 18.2.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 18.2
Izdano 11. prosinca 2024.
APFS
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) i anonimni istraživač
Unos je dodan 27. siječnja 2025.
AppleMobileFileIntegrity
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2024-54527: Mickey Jin (@patch1t)
Crash Reporter
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2024-54513: anonimni istraživač
FontParser
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54486: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)
ICU
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-54478: Gary Kwong
Unos je dodan 27. siječnja 2025.
ImageIO
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2024-54499: anonimni istraživač u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Unos je dodan 27. siječnja 2025.
ImageIO
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54500: Junsung Lee i inicijativa Zero Day (Trend Micro)
IOMobileFrameBuffer
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla oštetiti koprocesorsku memoriju
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2024-54517: Ye Zhang (@VAR10CK) (Baidu Security)
CVE-2024-54518: Ye Zhang (@VAR10CK) (Baidu Security)
CVE-2024-54522: Ye Zhang (@VAR10CK) (Baidu Security)
CVE-2024-54523: Ye Zhang (@VAR10CK) (Baidu Security)
Unos je dodan 27. siječnja 2025.
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54468: anonimni istraživač
Unos je dodan 27. siječnja 2025.
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadači su mogli stvoriti mapiranje memorije samo za čitanje u koju se moglo zapisivati
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-54494: sohybbyk
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) (MIT CSAIL)
libexpat
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-45490
libxpc
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54514: anonimni istraživač
libxpc
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
QuartzCore
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54497: anonimni istraživač u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Unos je dodan 27. siječnja 2025.
SceneKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-54501: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)
Vim
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2024-45306
Unos je dodan 27. siječnja 2025.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka (Google Project Zero)
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy (HKUS3Lab) i chluo (WHUSecLab), Xiangwei Zhang (YUNDING LAB, Tencent Security)
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong i anonimni istraživač
Unos je ažuriran 27. siječnja 2025.
Dodatna zahvala
FaceTime
Zahvaljujemo 椰椰 na pomoći.
Proximity
Na pomoći zahvaljujemo Junmingu C. (@Chapoly1305) i prof. Qiang Zengu (George Mason University).
Swift
Na pomoći zahvaljujemo Marcu Schoenefeldu, dr. rer. nat. na pomoći.
WebKit
Na pomoći zahvaljujemo korisniku Hafiizhu.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.