Over de beveiligingsinhoud van tvOS 18.1

In dit document wordt de beveiligingsinhoud van tvOS 18.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

Over de beveiligingsinhoud van tvOS 18.1

App Support

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadwillige app kan mogelijk willekeurige sneltoetsen uitvoeren zonder de toestemming van de gebruiker

Beschrijving: een probleem met de verwerking van een pad is verholpen door verbeterde logica.

CVE-2024-44255: een anonieme onderzoeker

AppleAVD

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-44232: Ivan Fratric van Google Project Zero

CVE-2024-44233: Ivan Fratric van Google Project Zero

CVE-2024-44234: Ivan Fratric van Google Project Zero

CoreMedia Playback

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell van Loadshine Lab

CoreText

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44240: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

Foundation

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-44282: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2024-44215: Junsung Lee in samenwerking met Trend Micro Zero Day Initiative

ImageIO

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bericht kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-44297: Jex Amro

IOSurface

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2024-44285: een anonieme onderzoeker

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden

Beschrijving: een logicaprobleem is verholpen door verbeterd bestandsbeheer.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-44277: een anonieme onderzoeker en Yinyi Wu (@_3ndy1) van Dawn Security Lab van JD.com, Inc.

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-44296: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

CVE-2024-44244: een anonieme onderzoeker, Q1IQ (@q1iqF) en P1umer (@p1umer)

Aanvullende erkenning

ImageIO

Met dank aan Amir Bazine en Karsten König van CrowdStrike Counter Adversary Operations, een anonieme onderzoeken voor de hulp.

NetworkExtension

Met dank aan Patrick Wardle van DoubleYou & the Objective-See Foundation voor de hulp.

Photos

Met dank aan James Robertson voor de hulp.

Security

Met dank aan Bing Shi, Wenchao Li en Xiaolong Bai van Alibaba Group voor de hulp.