Mengenai konten keamanan tvOS 18.1

Dokumen ini menjelaskan konten keamanan tvOS 18.1.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

Mengenai konten keamanan tvOS 18.1

App Support

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: App yang berbahaya mungkin dapat menjalankan pintasan arbitrer tanpa persetujuan pengguna

Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.

CVE-2024-44255: peneliti anonim

AppleAVD

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Menguraikan file video perusak yang berbahaya dapat mengakibatkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44232: Ivan Fratric dari Google Project Zero

CVE-2024-44233: Ivan Fratric dari Google Project Zero

CVE-2024-44234: Ivan Fratric dari Google Project Zero

CoreMedia Playback

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: App yang berbahaya mungkin dapat mengakses informasi pribadi

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell dari Loadshine Lab

CoreText

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44240: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

Foundation

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Menguraikan file dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-44282: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44215: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44297: Jex Amro

IOSurface

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2024-44285: peneliti anonim

Kernel

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: App dapat membocorkan status kernel yang bersifat rahasia

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Memulihkan file cadangan perusak yang berbahaya dapat menyebabkan modifikasi file sistem yang dilindungi

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Memulihkan file cadangan perusak yang berbahaya dapat menyebabkan modifikasi file sistem yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan penanganan file yang lebih baik.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-44277: peneliti anonim dan Yinyi Wu (@_3ndy1) dari Dawn Security Lab milik JD.com, Inc.

WebKit

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44296: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

WebKit

Tersedia untuk: Apple TV HD dan Apple TV 4K (semua model)

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-44244: peneliti anonim, Q1IQ (@q1iqF), dan P1umer (@p1umer)

Ucapan terima kasih tambahan

ImageIO

Kami ingin mengucapkan terima kasih kepada Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, peneliti anonim atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Patrick Wardle dari DoubleYou & the Objective-See Foundation atas bantuannya.

Photos

Kami ingin mengucapkan terima kasih kepada James Robertson atas bantuannya.

Security

Kami ingin mengucapkan terima kasih kepada Bing Shi, Wenchao Li dan Xiaolong Bai dari Alibaba Group atas bantuannya.