Informazioni sui contenuti di sicurezza di tvOS 17.4

In questo documento vengono descritti i contenuti di sicurezza di tvOS 17.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza di Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 17,4

Accessibility

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app dannosa potrebbe essere in grado di osservare i dati utente nelle voci di registro relative alle notifiche di accessibilità.

Descrizione: un problema di privacy è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-23291

AppleMobileFileIntegrity

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-23288: Wojciech Regula di SecuRing (wojciechregula.blog) e Kirin (@Pwnrin)

CoreBluetooth - LE

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app può essere in grado di accedere ai microfoni connessi tramite Bluetooth senza autorizzazione da parte dell'utente.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2024-23250: Guilherme Rambo di Best Buddy Apps (rambo.codes)

file

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file potrebbe causare l'interruzione del servizio o la divulgazione di contenuti presenti in memoria.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-48554

Image Processing

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-23270: un ricercatore anonimo

ImageIO

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un'immagine può causare l'esecuzione di un codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-23286: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro, Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), nonché Lyutoon e Mr.R

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2024-23235

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o scrivere sulla memoria del kernel.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.

CVE-2024-23265: Xinru Chi di Pangu Lab

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria del kernel può essere in grado di ignorare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2024-23225

libxpc

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-23278: un ricercatore anonimo

libxpc

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app può eseguire codice arbitrario al di fuori della sandbox o con determinati privilegi elevati

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-0258: ali yabuz

MediaRemote

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'applicazione dannosa può accedere a informazioni private.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-23297: scj643

Metal

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm in collaborazione con Zero Day Initiative di Trend Micro

RTKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato con funzionalità di lettura e scrittura arbitraria del kernel può essere in grado di ignorare le protezioni della memoria del kernel. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2024-23296

Sandbox

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente

Descrizione: un problema logico è stato risolto attraverso migliori restrizioni.

CVE-2024-23290: Wojciech Regula di SecuRing (wojciechregula.blog)

Siri

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato con accesso fisico potrebbe essere in grado di usare Siri per accedere ai dati sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-23293: Bistrit Dahal

Spotlight

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe divulgare informazioni sensibili degli utenti.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-23241

UIKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-23246: Deutsche Telekom Security GmbH sponsorizzato da Bundesamt für Sicherheit in der Informationstechnik

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web potrebbe causare un'interruzione del servizio

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-54658: anbu1024 di SecANT

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-23226: Pwn2car

CVE-2024-27859: Pwn2car

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un sito web dannoso può causare l'esfiltrazione dei dati audio multiorigine.

Descrizione: il problema è stato risolto attraverso una migliore gestione dell'interfaccia utente.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: un problema di injection è stato risolto attraverso una migliore convalida.

CVE-2024-23280: un ricercatore anonimo

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-23284: Georg Felber e Marco Squarcina

Altri riconoscimenti

CoreAnimation

Ringraziamo Junsung Lee per l'assistenza.

CoreMotion

Ringraziamo Eric Dorphy di Twin Cities App Dev LLC per l'assistenza.

Kernel

Ringraziamo Tarek Joumaa (@tjkr0wn) per l'assistenza.

libxml2

Ringraziamo OSS-Fuzz, Ned Williamson di Google Project Zero per l'assistenza.

libxpc

Ringraziamo Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) e un anonimo ricercatore per l'assistenza.

Photos

Ringraziamo Abhay Kailasia (@abhay_kailasia) del Lakshmi Narain College Of Technology Bhopal per l'assistenza.

Power Management

Ringraziamo Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd. per l'assistenza.

Sandbox

Ringraziamo Zhongquan Li (@Guluisacat) per l'assistenza.

Siri

Ringraziamo Bistrit Dahal per l'assistenza.

Software Update

Rirngaziamo Bin Zhang of Dublin City University per l'assistenza.

WebKit

Rinrgaziamo Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina e Lorenzo Veronese di TU Wien per l'assistenza.