Over de beveiligingsinhoud van tvOS 18
In dit document wordt de beveiligingsinhoud van tvOS 18 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 18
Releasedatum: 16 september 2024
Game Center
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een probleem met bestandstoegang is verholpen door verbeterde invoervalidatie.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2024-27880: Junsung Lee
ImageIO
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative en een anonieme onderzoeker
IOSurfaceAccelerator
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-44169: Antonio Zekić
Kernel
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan ongeoorloofde toegang verkrijgen tot Bluetooth
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef
libxml2
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2024-44198: OSS-Fuzz, en Ned Williamson van Google Project Zero
mDNSResponder
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een app kan mogelijk een denial-of-service veroorzaken
Beschrijving: een logicaprobleem is verholpen door verbeterde foutverwerking.
CVE-2024-44183: Olivier Levon
Model I/O
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial-of-service
Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID is door derden toegewezen. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.
CVE-2023-5841
SceneKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2024-44144: 냥냥
Toegevoegd op 28 oktober 2024
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot universele cross-site-scripting
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
Wi-Fi
Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)
Impact: een aanvaller kan de verbinding van een apparaat met een beveiligd netwerk mogelijk geforceerd verbreken
Beschrijving: een integriteitsprobleem met Beacon Protection is verholpen.
CVE-2024-40856: Domien Schepers
Aanvullende erkenning
Kernel
Met dank aan Braxton Anderson, en Fakhri Zulkifli (@d0lph1n98) van PixiePoint Security voor de hulp.
WebKit
Met dank aan Avi Lumelsky van Oligo Security, Uri Katz van Oligo Security, Eli Grey (eligrey.com) en Johan Carlsson (joaxcar) voor de hulp.
Bijgewerkt op 28 oktober 2024
Wi-Fi
Met dank aan Antonio Zekic (@antoniozekic) en ant4g0nist, en Tim Michaud (@TimGMichaud) van Moveworks.ai voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.