Informazioni sui contenuti di sicurezza di tvOS 17.5

In questo documento vengono descritti i contenuti di sicurezza di tvOS 17.5.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle nuove versioni alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 17.5

Apple Neural Engine

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato locale potrebbe causare un arresto imprevisto del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27826: Minghao Lin e Ye Zhang (@VAR10CK) di Baidu Security

AppleAVD

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema è stato risolto con una migliore convalida delle variabili ambientali.

CVE-2024-27805: Kirin (@Pwnrin) e 小来来 (@Smi1eSEC)

CoreMedia

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27817: pattern-f (@pattern_F_) di Ant Security Light-Year Lab

CoreMedia

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27831: Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations

Disk Images

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27832: un ricercatore anonimo

Foundation

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27801: CertiK SkyFall Team

IOSurface

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) di STAR Labs SG Pte. Ltd.

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato che ha già ottenuto l'esecuzione del codice kernel può essere in grado di bypassare le protezioni della memoria del kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-27840: un ricercatore anonimo

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27815: un ricercatore anonimo e Joseph Ravichandran (@0xjprx) di MIT CSAIL

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di eseguire lo spoofing dei pacchetti di rete.

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-27823: Prof. Benny Pinkas della Bar-Ilan University, Prof. Amit Klein della Hebrew University ed EP

libiconv

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe riuscire a rendere i privilegi più elevati.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27811: Nick Wellnhofer

Maps

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'applicazione può leggere informazioni sensibili sulla posizione.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2024-27810: LFY@secsys dell'Università Fudan di Shangai

Messages

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2024-27800: Daniel Zajork e Joshua Zajork

Metal

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file dannoso può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in collaborazione con Zero Day Initiative di Trend Micro

Metal

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-27857: Michael DePlante (@izobashi) della Zero Day Initiative di Trend Micro

RemoteViewServices

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato potrebbe accedere ai dati degli utenti

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-27816: Mickey Jin (@patch1t)

Spotlight

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso una migliore sanitizzazione dell'ambiente.

CVE-2024-27806

Transparency

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente

Descrizione: questo problema è stato risolto con una nuova autorizzazione.

CVE-2024-27884: Mickey Jin (@patch1t)

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato con capacità arbitraria di lettura e scrittura potrebbe riuscire a bypassare l'autenticazione del puntatore

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-27834: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto mediante l'aggiunta di ulteriore logica.

CVE-2024-27838: Emilio Cobos di Mozilla

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27808: Lukas Bernhard di CISPA Helmholtz Center for Information Security

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-27833: Manfred Paul (@_manfp) in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-27851: Nan Wang (@eternalsakura13) di 360 Vulnerability Research Institute

WebKit Canvas

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: una pagina web dannosa potrebbe essere in grado di creare una rappresentazione univoca dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-27830: Joe Rutkowski (@Joe12387) di Crawless e @abrahamjuliot

WebKit Web Inspector

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web può causare l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto migliorando la gestione della memoria.

CVE-2024-27820: Jeff Johnson di underpassapp.com

Altri riconoscimenti

App Store

Ringraziamo un ricercatore anonimo per l'assistenza.

AppleMobileFileIntegrity

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

CoreHAP

Ringraziamo Adrian Cable per l'assistenza.

Disk Images

Ringraziamo Mickey Jin (@patch1t) per l'assistenza.

ImageIO

Ringraziamo un ricercatore anonimo per l'assistenza.

Managed Configuration

Ringraziamo 遥遥领先 (@晴天组织) per l'assistenza.