Informazioni sui contenuti di sicurezza di tvOS 17.5
In questo documento vengono descritti i contenuti di sicurezza di tvOS 17.5.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza di Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
tvOS 17.5
Data di rilascio: 13 maggio 2024
Apple Neural Engine
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27826: Minghao Lin e Ye Zhang (@VAR10CK) di Baidu Security
Voce aggiunta il 29 luglio 2024
AppleAVD
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe causare l'arresto improvviso del sistema.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Voce aggiornata il 15 maggio 2024
AppleMobileFileIntegrity
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-27816: Mickey Jin (@patch1t)
AVEVideoEncoder
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-40771: un ricercatore anonimo
Voce aggiunta il 15 gennaio 2025
Core Data
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.
CVE-2024-27805: Kirin (@Pwnrin) e 小来来 (@Smi1eSEC)
Voce aggiunta il 10 giugno 2024
CoreMedia
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27817: pattern-f (@pattern_F_) di Ant Security Light-Year Lab
Voce aggiunta il 10 giugno 2024
CoreMedia
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27831: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations
Voce aggiunta il 10 giugno 2024
Disk Images
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app può essere in grado di elevare i privilegi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27832: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Foundation
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app può essere in grado di elevare i privilegi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27801: CertiK SkyFall Team
Voce aggiunta il 10 giugno 2024
IOSurface
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.
Voce aggiunta il 10 giugno 2024
Kernel
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2024-27840: un ricercatore anonimo
Voce aggiunta il 10 giugno 2024
Kernel
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27815: un ricercatore anonimo e Joseph Ravichandran (@0xjprx) di MIT CSAIL
Voce aggiunta il 10 giugno 2024
Kernel
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di eseguire lo spoofing dei pacchetti di rete.
Descrizione: una race condition è stata risolta attraverso un blocco migliore.
CVE-2024-27823: Prof. Benny Pinkas della Bar-Ilan University, Prof. Amit Klein della Hebrew University ed EP
Voce aggiunta il 29 luglio 2024
libiconv
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app può essere in grado di elevare i privilegi.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2024-27811: Nick Wellnhofer
Voce aggiunta il 10 giugno 2024
Maps
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.
Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.
CVE-2024-27810: LFY@secsys dell'Università Fudan di Shangai
Messages
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2024-27800: Daniel Zajork e Joshua Zajork
Voce aggiunta il 10 giugno 2024
Metal
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 10 giugno 2024
Metal
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2024-27857: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro
Voce aggiunta il 10 giugno 2024
RemoteViewServices
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2024-27816: Mickey Jin (@patch1t)
Spotlight
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe accedere ai dati sensibili degli utenti
Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.
CVE-2024-27806
Voce aggiunta il 10 giugno 2024
Transparency
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente
Descrizione: questo problema è stato risolto con una nuova autorizzazione.
CVE-2024-27884: Mickey Jin (@patch1t)
Voce aggiunta il 29 luglio 2024
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 268765
CVE-2024-27856: Maksymilian Motyl di Immunity Systems, Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro e ajajfxhj
Voce aggiunta il 15 gennaio 2025
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: un utente malintenzionato con capacità arbitraria di lettura e scrittura potrebbe riuscire a bypassare l'autenticazione del puntatore
Descrizione: il problema è stato risolto con controlli migliori.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.
Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos di Mozilla
Voce aggiunta il 10 giugno 2024
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard di CISPA Helmholtz Center for Information Security
Voce aggiunta il 10 giugno 2024
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 10 giugno 2024
WebKit
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute
Voce aggiunta il 10 giugno 2024
WebKit Canvas
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) di Crawless e @abrahamjuliot
Voce aggiunta il 10 giugno 2024
WebKit Web Inspector
Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)
Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto migliorando la gestione della memoria.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson di underpassapp.com
Voce aggiunta il 10 giugno 2024
Altri riconoscimenti
App Store
Ringraziamo un ricercatore anonimo per l'assistenza.
AppleMobileFileIntegrity
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Voce aggiunta il 10 giugno 2024
CoreHAP
Ringraziamo Adrian Cable per l'assistenza.
Disk Images
Ringraziamo Mickey Jin (@patch1t) per l'assistenza.
Voce aggiunta il 10 giugno 2024
ImageIO
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 10 giugno 2024
Managed Configuration
Ringraziamo 遥遥领先 (@晴天组织) per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.