Zawartość związana z zabezpieczeniami w systemie tvOS 18.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 18.1.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
tvOS 18.1
Wydano 28 października 2024 r.
App Support
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: złośliwa aplikacja może być w stanie uruchamiać dowolne skróty bez zgody użytkownika.
Opis: usunięto błąd w procedurze obsługi ścieżek przez poprawienie obsługi procesów logicznych.
CVE-2024-44255: anonimowy badacz
AppleAVD
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: analiza składni złośliwie spreparowanego pliku wideo może doprowadzić do nieoczekiwanego zamknięcia systemu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2024-44232: Ivan Fratric z Google Project Zero
CVE-2024-44233: Ivan Fratric z Google Project Zero
CVE-2024-44234: Ivan Fratric z Google Project Zero
Wpis dodano 1 listopada 2024 r.
CoreMedia Playback
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.
Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell z Loadshine Lab
CoreText
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-44240: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2024-44302: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
Foundation
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: analiza składni pliku może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-44282: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
ImageIO
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2024-44215: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro
ImageIO
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2024-44297: Jex Amro
IOSurface
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2024-44285: anonimowy badacz
Kernel
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.
Opis: rozwiązano problem z ujawnianiem informacji przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: odtworzenie złośliwie spreparowanego pliku backupu może doprowadzić do modyfikacji chronionych plików systemowych.
Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: odtworzenie złośliwie spreparowanego pliku backupu może doprowadzić do modyfikacji chronionych plików systemowych.
Opis: naprawiono błąd logiczny przez poprawienie procedury obsługi plików.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-44277: anonimowy badacz i Yinyi Wu(@_3ndy1) z Dawn Security Lab of JD.com, Inc.
Security
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-54538: Bing Shi, Wenchao Li i Xiaolong Bai z Alibaba Group oraz Luyi Xing z Indiana University Bloomington
Wpis dodano 19 grudnia 2024 r.
WebKit
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: pliki cookie należące do jednego źródła mogą zostać wysłane do innego źródła.
Opis: naprawiono błąd zarządzania plikami cookie przez poprawienie procedur zarządzania stanem.
WebKit Bugzilla: 279226
CVE-2024-44212: Wojciech Regula z SecuRing (wojciechregula.blog)
Wpis dodano 11 grudnia 2024 r.
WebKit
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, menedżer ds. cyberbezpieczeństwa w Suma Soft Pvt. Ltd, Pune (India).
WebKit
Dostępne dla: wszystkich modeli Apple TV HD i Apple TV 4K
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 279780
CVE-2024-44244: anonimowy badacz, Q1IQ (@q1iqF) i P1umer (@p1umer)
Dodatkowe podziękowania
ImageIO
Dziękujemy za udzieloną pomoc: Amir Bazine i Karsten König z CrowdStrike Counter Adversary Operations, anonimowy badacz.
NetworkExtension
Dziękujemy za udzieloną pomoc: Patrick Wardle z DoubleYou oraz Objective-See Foundation.
Photos
Dziękujemy za udzieloną pomoc: James Robertson.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.