A tvOS 17.6 biztonsági változásjegyzéke
Ez a dokumentum a tvOS 17.6 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
tvOS 17.6
Kiadási dátum: 2024. július 29.
AppleMobileFileIntegrity
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-40799: D4m0n
dyld
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-40815: w0wbox
Family Sharing
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2024-40795: Fitzl Csaba (@theevilbit, Kandji)
ImageIO
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2023-6277
CVE-2023-52356
ImageIO
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-40806: Yisumi
ImageIO
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2024-40777: Junsung Lee (Trend Micro Zero Day Initiative), valamint Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations)
ImageIO
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2024-40784: Junsung Lee (Trend Micro Zero Day Initiative) és Gandalf4a
Kernel
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A helyi támadó meg tudta határozni a kernelmemória felépítését.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.
CVE-2024-27863: CertiK SkyFall Team
Kernel
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A helyi támadók váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2024-40788: Minghao Lin és Jiaxun Zhu (Zhejiang University)
libxpc
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-40805
Sandbox
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-40824: Wojciech Regula (SecuRing (wojciechregula.blog) és Zhongquan Li (@Guluisacat, Dawn Security Lab – JingDong)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab, Trend Micro Zero Day Initiative)
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Bejegyzés hozzáadva: 2024. október 15.
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A felhasználók bizonyos esetekben megkerülhettek egyes webes tartalomkorlátozásokat.
Leírás: Továbbfejlesztett logikával elhárítottuk az URL-protokollok kezelésével kapcsolatos problémát.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger és Ro Achterberg
Bejegyzés hozzáadva: 2024. október 15.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.