Om sikkerhetsinnholdet i tvOS 18.2
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 18.2.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
Mer informasjon finnes på siden for Apple-produktsikkerhet.
tvOS 18.2
Utgitt 11. desember 2024
APFS
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) og en anonym forsker
Oppføring lagt til 27. januar 2025
AppleMobileFileIntegrity
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En skadelig app kan få tilgang til privat informasjon
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-54527: Mickey Jin (@patch1t)
Crash Reporter
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2024-54513: en anonym forsker
FontParser
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-54486: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative
ICU
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2024-54478: Gary Kwong
Oppføring lagt til 27. januar 2025
ImageIO
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2024-54499: Anonymous i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 27. januar 2025
ImageIO
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-54500: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative
IOMobileFrameBuffer
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan skade koprosessorens minne
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2024-54517: Ye Zhang (@VAR10CK) fra Baidu Security
CVE-2024-54518: Ye Zhang (@VAR10CK) fra Baidu Security
CVE-2024-54522: Ye Zhang (@VAR10CK) fra Baidu Security
CVE-2024-54523: Ye Zhang (@VAR10CK) fra Baidu Security
Oppføring lagt til 27. januar 2025
Kernel
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-54468: en anonym forsker
Oppføring lagt til 27. januar 2025
Kernel
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En angriper kan være i stand til å opprette en skrivebeskyttet minnetilordning som er skrivbar
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2024-54494: sohybbyk
Kernel
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan lekke sensitiv kjernetilstand
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) fra MIT CSAIL
libexpat
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En ekstern bruker kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.
CVE-2024-45490
libxpc
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-54514: en anonym forsker
libxpc
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
QuartzCore
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av nettinnhold kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-54497: Anonymous i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 27. januar 2025
SceneKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig fil kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-54501: Michael DePlante (@izobashi) fra Trend Micro's Zero Day Initiative
Vim
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig fil kan føre til skade i heapen
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.
CVE-2024-45306
Oppføring lagt til 27. januar 2025
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka fra Google Project Zero
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy fra HKUS3Lab og chluo fra WHUSecLab, Xiangwei Zhang fra Tencent Security YUNDING LAB
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong og en anonym forsker
Oppføring oppdatert 27. januar 2025
Ytterligere anerkjennelser
FaceTime
Vi vil gjerne takke 椰椰 for hjelpen.
Proximity
Vi vil gjerne takke Junming C. (@Chapoly1305) og Prof. Qiang Zeng fra George Mason University for hjelpen.
Swift
Vi vil gjerne takke Marc Schoenefeld, Dr. rer. nat. for hjelpen.
WebKit
Vi vil gjerne takke Hafiizh for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.