Om sikkerhetsinnholdet i tvOS 18
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 18.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.
tvOS 18
Utgitt 16. september 2024
Game Center
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et filtilgangsproblem ble løst gjennom forbedret validering av inndata.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27880: Junsung Lee
ImageIO
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2024-44176: dw0r fra ZeroPointer Lab arbeider med Trend Micro Zero Day Initiative, en anonym forsker
IOSurfaceAccelerator
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan forårsake uventet systemavslutning
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-44169: Antonio Zekić
Kernel
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan få uautorisert tilgang til Bluetooth
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef
libxml2
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2024-44198: OSS-Fuzz, Ned Williamson hos Google Project Zero
mDNSResponder
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan være i stand til å forårsake tjenestenekt
Beskrivelse: En logikkfeil ble løst gjennom forbedret feilhåndtering.
CVE-2024-44183: Olivier Levon
Model I/O
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.
CVE-2023-5841
SceneKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2024-44144: 냥냥
Oppføring lagt til 28. oktober 2024
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et problem på tvers av opprinnelsessteder i «iframe»-elementer. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)
Wi-Fi
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En angriper kan tvinge en enhet til å koble seg fra et sikkert nettverk
Beskrivelse: Et integritetsproblem ble løst med blussbeskyttelse.
CVE-2024-40856: Domien Schepers
Ytterligere anerkjennelser
Kernel
Vi vil gjerne takke Braxton Anderson og Fakhri Zulkifli (@d0lph1n98) hos PixiePoint Security for hjelpen.
WebKit
Vi vil gjerne takke Avi Lumelsky fra Oligo Security, Uri Katz fra Oligo Security, Eli Grey (eligrey.com) og Johan Carlsson (joaxcar) for hjelpen.
Oppføring oppdatert 28. oktober 2024
Wi-Fi
Vi vil gjerne takke Antonio Zekic (@antoniozekic) og ant4g0nist, Tim Michaud (@TimGMichaud) hos Moveworks.ai for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.