Informazioni sui contenuti di sicurezza di tvOS 18.1

In questo documento vengono descritti i contenuti di sicurezza di tvOS 18.1.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

Informazioni sui contenuti di sicurezza di tvOS 18.1

App Support

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app dannosa potrebbe essere in grado di eseguire comandi rapidi arbitrari senza il consenso dell'utente

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore logica.

CVE-2024-44255: un ricercatore anonimo

AppleAVD

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'analisi di un file video dannoso può causare l'arresto improvviso del sistema.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44232: Ivan Fratric di Google Project Zero

CVE-2024-44233: Ivan Fratric di Google Project Zero

CVE-2024-44234: Ivan Fratric di Google Project Zero

CoreMedia Playback

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell di Loadshine Lab

CoreText

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44240: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

Foundation

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'analisi di un file potrebbe causare la divulgazione delle informazioni utente

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-44282: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

ImageIO

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un'immagine potrebbe causare la divulgazione dei contenuti della memoria dei processi.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-44215: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un messaggio pericoloso potrebbe causare un'interruzione del servizio.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-44297: Jex Amro

IOSurface

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-44285: un ricercatore anonimo

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: un problema di divulgazione delle informazioni è stato risolto migliorando la redazione dei dati privati per i log.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: il problema è stato risolto attraverso una migliore gestione dei link simbolici.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: il ripristino di un file di backup dannoso potrebbe causare la modifica di file di sistema protetti.

Descrizione: un problema logico è stato risolto con una migliore gestione dei file.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe causare l'arresto improvviso del sistema o danneggiare la memoria del kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-44277: un ricercatore anonimo e Yinyi Wu (@_3ndy1) di Dawn Security Lab di JD.com, Inc.

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web pericolosi potrebbe impedire l'applicazione della Content Security Policy.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security presso Suma Soft Pvt. Ltd, Pune (India)

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2024-44244: un ricercatore anonimo, Q1IQ (@q1iqF) e P1umer (@p1umer)

Altri riconoscimenti

ImageIO

Ringraziamo Amir Bazine e Karsten König di CrowdStrike Counter Adversary Operations e un ricercatore anonimo per l'assistenza.

NetworkExtension

Ringraziamo Patrick Wardle di DoubleYou & the Objective-See Foundation per l'assistenza.

Photos

Ringraziamo James Robertson per l'assistenza.

Security

Ringraziamo Bing Shi, Wenchao Li e Xiaolong Bai di Alibaba Group per l'assistenza.