Sobre o conteúdo de segurança do tvOS 18.1

Este documento descreve o conteúdo de segurança do tvOS 18.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

Sobre o conteúdo de segurança do tvOS 18.1

App Support

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app mal-intencionado pode executar atalhos arbitrários sem o consentimento do usuário

Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na lógica.

CVE-2024-44255: pesquisador anônimo

AppleAVD

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: analisar um arquivo de vídeo criado com códigos maliciosos pode levar ao encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2024-44232: Ivan Fratric do Google Project Zero

CVE-2024-44233: Ivan Fratric do Google Project Zero

CVE-2024-44234: Ivan Fratric do Google Project Zero

CoreMedia Playback

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app mal-intencionado pode ter acesso a informações privadas

Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell do Loadshine Lab

CoreText

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44240: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

Foundation

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: a análise de um arquivo pode causar a divulgação de informações do usuário

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-44282: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

ImageIO

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar uma imagem pode resultar na divulgação da memória de processamento

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44215: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de uma mensagem de criada de maneira mal-intencionada pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2024-44297: Jex Amro

IOSurface

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2024-44285: pesquisador anônimo

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: um problema de divulgação de informações foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: a restauração de um arquivo de backup mal-intencionado pode levar à modificação de arquivos de sistema protegidos

Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.

CVE-2024-44258: Hichem Maloufi, Christian Mina e Ismail Amzdak

MobileBackup

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: a restauração de um arquivo de backup mal-intencionado pode levar à modificação de arquivos de sistema protegidos

Descrição: um problema de lógica foi resolvido por meio de melhorias no processamento de arquivos.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-44277: um pesquisador anônimo e Yinyi Wu(@_3ndy1) do Dawn Security Lab da JD.com, Inc.

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44296: Narendra Bhati, gerente da Cyber Security na Suma Soft Pvt. Ltd, Pune (Índia)

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-44244: pesquisador anônimo, Q1IQ (@q1iqF) e P1umer (@p1umer)

Outros reconhecimentos

ImageIO

Gostaríamos de agradecer a Amir Bazine e Karsten König, da CrowdStrike Counter Adversary Operations, e um pesquisador anônimo pela ajuda.

NetworkExtension

Gostaríamos de agradecer a Patrick Wardle, da DoubleYou & da Objective-See Foundation, pela ajuda.

Fotos

Gostaríamos de agradecer a James Robertson pela ajuda.

Segurança

Gostaríamos de agradecer a Bing Shi, Wenchao Li e Xiaolong Bai do Alibaba Group pela ajuda.