A tvOS 18 biztonsági változásjegyzéke
Ez a dokumentum a tvOS 18 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
tvOS 18
Kiadási dátum: 2024. szeptember 16.
Game Center
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-27880: Junsung Lee
ImageIO
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2024-44176: dw0r (ZeroPointer Lab) a Trend Micro Zero Day Initiative kezdeményezés keretében, valamint egy anonim kutató
IOSurfaceAccelerator
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44169: Antonio Zekić
Kernel
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetoothhoz.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) és Mathy Vanhoef
libxml2
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)
mDNSResponder
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.
CVE-2024-44183: Olivier Levon
Model I/O
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Egy rosszindulatú célból létrehozott kép feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2023-5841
SceneKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2024-44144: 냥냥
Bejegyzés hozzáadva: 2024. október 28.
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.
Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)
Wi-Fi
A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)
Érintett terület: A támadók bizonyos esetekben el tudták érni a készülék leválasztását a biztonságos hálózatról.
Leírás: A jeladó védelmével megoldottuk az integritással kapcsolatos problémát.
CVE-2024-40856: Domien Schepers
További köszönetnyilvánítás
Kernel
Szeretnénk megköszönni Braxton Anderson, Fakhri Zulkifli (@d0lph1n98, PixiePoint Security) segítségét.
WebKit
Szeretnénk megköszönni Avi Lumelsky (Oligo Security), Uri Katz (Oligo Security), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) segítségét.
Bejegyzés hozzáadva: 2024. október 28.
Wi-Fi
Szeretnénk megköszönni Antonio Zekic (@antoniozekic) és ant4g0nist, Tim Michaud (@TimGMichaud, Moveworks.ai) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.