Sobre o conteúdo de segurança do tvOS 18
Este documento descreve o conteúdo de segurança do tvOS 18.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
tvOS 18
Lançamento em 16 de setembro de 2024
Game Center
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de acesso aos arquivos foi resolvido com a melhoria da validação de entradas.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-27880: Junsung Lee
ImageIO
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de uma imagem pode levar a uma negação de serviço
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-44176: dw0r do ZeroPointer Lab trabalhando com a Trend Micro Zero Day Initiative, pesquisador anônimo
IOSurfaceAccelerator
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-44169: Antonio Zekić
Kernel
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode obter acesso não autorizado ao Bluetooth
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef
libxml2
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-44198: OSS-Fuzz, Ned Williamson do Google Project Zero
mDNSResponder
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode ser capaz de causar uma negação de serviço
Descrição: um erro de lógica foi resolvido com a melhoria do tratamento de erros.
CVE-2024-44183: Olivier Levon
Model I/O
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar uma imagem criada com códigos maliciosos pode levar a uma negação de serviço
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2023-5841
SceneKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um estouro de buffer foi resolvido por meio de melhorias na validação de tamanho.
CVE-2024-44144: 냥냥
Entrada adicionada em 28 de outubro de 2024
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: havia um problema de origem cruzada em elementos "iframe". Esse problema foi resolvido por meio de melhorias no rastreamento de origens de segurança.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Gerente da Cyber Security na Suma Soft Pvt. Ltd, Pune (Índia)
Wi-Fi
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um invasor pode forçar um dispositivo a se desconectar de uma rede segura
Descrição: um problema de integridade foi resolvido com o Beacon Protection.
CVE-2024-40856: Domien Schepers
Outros reconhecimentos
Kernel
Gostaríamos de agradecer a Braxton Anderson e Fakhri Zulkifli (@d0lph1n98) da PixiePoint Security pela ajuda.
WebKit
Gostaríamos de agradecer a Avi Lumelsky da Oligo Security, Uri Katz da Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar) pela ajuda.
Entrada adicionada em 28 de outubro de 2024
Wi-Fi
Gostaríamos de agradecer a Antonio Zekic (@antoniozekic), ant4g0nist e Tim Michaud (@TimGMichaud) da Moveworks.ai pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.