Sobre o conteúdo de segurança do tvOS 18.2

Este documento descreve o conteúdo de segurança do tvOS 18.2.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

tvOS 18.2

APFS

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) e um pesquisador anônimo

AppleMobileFileIntegrity

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app mal-intencionado pode ter acesso a informações privadas

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2024-54513: pesquisador anônimo

FontParser

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54486: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

ICU

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2024-54478: Gary Kwong

ImageIO

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar uma imagem criada com códigos maliciosos pode levar à execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2024-54499: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar uma imagem criada com códigos maliciosos poderia resultar na divulgação da memória de processamento

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54500: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro

IOMobileFrameBuffer

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode corromper a memória do coprocessador

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2024-54517: Ye Zhang (@VAR10CK) da Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) da Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) da Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) da Baidu Security

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir sair de sua área restrita

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54468: um pesquisador anônimo

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor poderia ser capaz de criar um mapeamento de memória de somente leitura que podia ser gravado

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2024-54494: sohybbyk

Kernel

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) do MIT CSAIL

libexpat

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um invasor remoto pode causar o encerramento inesperado de apps ou a execução arbitrária de códigos

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-45490

libxpc

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode conseguir sair de sua área restrita

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54514: pesquisador anônimo

libxpc

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: um app pode obter privilégios elevados

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

QuartzCore

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54497: anônimo em parceria com a Zero Day Initiative da Trend Micro

SceneKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar um arquivo criado com códigos maliciosos pode resultar em negação de serviço

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54501: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

Vim

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar um arquivo criado com códigos maliciosos pode causar o corrompimento do heap

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-45306

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka do Google Project Zero

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-54508: linjy do HKUS3Lab e chluo do WHUSecLab, Xiangwei Zhang do Tencent Security YUNDING LAB

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-54505: Gary Kwong

WebKit

Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong e um pesquisador anônimo

Outros reconhecimentos

FaceTime

Gostaríamos de agradecer a 椰椰 pela ajuda.

Proximity

Gostaríamos de agradecer a Junming C. (@Chapoly1305) e Prof. Qiang Zeng da George Mason University pela ajuda.

Swift

Gostaríamos de reconhecer Marc Schoenefeld, Dr. rer. nat., pela ajuda.

WebKit

Gostaríamos de agradecer a Hafiizh pela ajuda.