Om sikkerhetsinnholdet i tvOS 17.6

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 17.6.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

tvOS 17.6

AppleMobileFileIntegrity

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40799: D4m0n

dyld

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En ondsinnet angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2024-40815: w0wbox

Family Sharing

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2024-40795: Csaba Fitzl (@theevilbit) fra Kandji

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40806: Yisumi

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-40777: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative, Amir Bazine og Karsten König hos CrowdStrike Counter Adversary Operations

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2024-40784: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative og Gandalf4a

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En lokal angriper kan bestemme oppsett av kjerneminne

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En lokal angriper kan forårsake uventet systemavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

libxpc

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40805

Sandbox

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-40824: Wojciech Regula fra SecuRing (wojciechregula.blog) og Zhongquan Li (@Guluisacat) fra Dawn Security Lab of JingDong

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2024-40779: Huang Xilin hos Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin hos Ant Group Light-Year Security Lab

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-40776: Huang Xilin hos Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-40789: Seunghyun Lee (@0x10n) hos KAIST Hacking Lab i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44185: Gary Kwong

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En bruker kan omgå enkelte begrensninger for nettinnhold

Beskrivelse: Et problem i håndteringen av nettadresseprotokoller ble løst med forbedret logikk.

CVE-2024-44206: Andreas Jaegersberger og Ro Achterberg