A tvOS 18.2 biztonsági tartalma

Ez a dokumentum a tvOS 18.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 18.2

AppleMobileFileIntegrity

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-54513: anonim kutató

FontParser

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54486: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

ImageIO

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54500: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A támadók bizonyos esetekben olyan csak olvasható memórialeképezést tudtak létrehozni, amelybe lehetett írni.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-54494: sohybbyk

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)

libexpat

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges kódot tudtak futtatni.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-45490

libxpc

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54514: anonim kutató

libxpc

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

SceneKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54501: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-54508: linjy (HKUS3Lab) és chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor memóriasérülést okozhatott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2024-54505: Gary Kwong

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor memóriasérülést okozhatott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-54534: Tashita Software Security

További köszönetnyilvánítás

FaceTime

Köszönjük 椰椰 segítségét.

Proximity

Köszönjük Junming C. (@Chapoly1305) és Prof. Qiang Zeng (George Mason University) segítségét.

Swift

Köszönjük Marc Schoenefeld, Dr. rer. nat. segítségét. segítségét.

WebKit

Köszönjük Hafiizh segítségét.