Informazioni sui contenuti di sicurezza di tvOS 18.2

In questo documento vengono descritti i contenuti di sicurezza di tvOS 18.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. È possibile trovare un elenco delle versioni più recenti alla pagina Versioni di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consultare questo articolo sulla sicurezza dei prodotti Apple.

tvOS 18.2

APFS

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di accedere ai dati sensibili dell'utente

Descrizione: il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) e un ricercatore anonimo

AppleMobileFileIntegrity

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app dannosa potrebbe accedere a informazioni private

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe accedere ai dati sensibili degli utenti

Descrizione: un problema di autorizzazioni è stato risolto attraverso restrizioni aggiuntive.

CVE-2024-54513: un ricercatore anonimo

FontParser

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54486: Hossein Lotfi (@hosselot) di Trend Micro Zero Day Initiative

ICU

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: un problema di accesso non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2024-54478: Gary Kwong

ImageIO

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di vulnerabilità use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-54499: anonimo in collaborazione con Zero Day Initiative di Trend Micro

ImageIO

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un'immagine dannosa potrebbe causare la divulgazione dei contenuti della memoria dei processi

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54500: Junsung Lee in collaborazione con Zero Day Initiative di Trend Micro

IOMobileFrameBuffer

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe danneggiare la memoria del coprocessore.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2024-54517: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) di Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) di Baidu Security

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54468: un ricercatore anonimo

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato può essere in grado di creare una mappatura di memoria di sola lettura che può essere scritta

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2024-54494: sohybbyk

Kernel

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe divulgare lo stato sensibile del kernel

Descrizione: una race condition è stata risolta attraverso un blocco migliore.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) di MIT CSAIL

libexpat

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un utente malintenzionato in remoto potrebbe causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-45490

libxpc

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe essere in grado di uscire dalla sandbox.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54514: un ricercatore anonimo

libxpc

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: un'app potrebbe riuscire ad acquisire privilegi elevati

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

QuartzCore

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web potrebbe causare l'interruzione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54497: anonimo in collaborazione con Zero Day Initiative di Trend Micro

SceneKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file dannoso può causare una negazione del servizio.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54501: Michael DePlante (@izobashi) di Zero Day Initiative di Trend Micro

Vim

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di un file dannoso può danneggiare la memoria heap.

Descrizione: si tratta di una vulnerabilità del codice open source e il software Apple è tra i progetti interessati. Il CVE-ID è stato assegnato da terze parti. Scopri di più sul problema e sul CVE-ID su cve.org.

CVE-2024-45306

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka di Google Project Zero

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuto web dannoso può causare un crash imprevisto del processo.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-54508: linjy di HKUS3Lab e chluo di WHUSecLab, Xiangwei Zhang di Tencent Security YUNDING LAB

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2024-54505: Gary Kwong

WebKit

Disponibile per: Apple TV HD e Apple TV 4K (tutti i modelli)

Impatto: l'elaborazione di contenuti web pericolosi può comportare il danneggiamento della memoria.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong e un ricercatore anonimo

Altri riconoscimenti

FaceTime

Ringraziamo 椰椰 per l'assistenza.

Proximity

Ringraziamo Junming C. (@Chapoly1305) e il Prof. Qiang Zeng della George Mason University per l'assistenza.

Swift

Ringraziamo Marc Schoenefeld, Dr. rer. nat. per l'assistenza.

WebKit

Ringraziamo Hafiizh per l'assistenza.