Despre conținutul de securitate din tvOS 18.1

Acest document descrie conținutul de securitate din tvOS 18.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

Despre conținutul de securitate din tvOS 18.1

App Support

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: este posibil ca o aplicație rău intenționată să ruleze arbitrar scurtături, fără acordul utilizatorului

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea logicii.

CVE-2024-44255: un cercetător anonim

AppleAVD

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-44232: Ivan Fratric din cadrul Google Project Zero

CVE-2024-44233: Ivan Fratric din cadrul Google Project Zero

CVE-2024-44234: Ivan Fratric din cadrul Google Project Zero

CoreMedia Playback

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație rău intenționată poate accesa informații confidențiale

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell de la Loadshine Lab

CoreText

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44240: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Foundation

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-44282: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-44215: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative

ImageIO

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-44297: Jex Amro

IOSurface

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2024-44285: un cercetător anonim

Kernel

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: a fost remediată o problemă de divulgare de informații prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: restaurarea unui fișier backup creat cu rea intenție poate cauza modificarea fișierelor de sistem protejate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: restaurarea unui fișier backup creat cu rea intenție poate cauza modificarea fișierelor de sistem protejate

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării fișierelor.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau la coruperea memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44277: un cercetător anonim și Yinyi Wu(@_3ndy1) din cadrul Dawn Security Lab de la JD.com, Inc.

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

WebKit

Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2024-44244: un cercetător anonim, Q1IQ (@q1iqF) și P1umer (@p1umer)

Alte mențiuni

ImageIO

Dorim să le mulțumim lui Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations, precum și unui cercetător anonim pentru asistența acordată.

NetworkExtension

Dorim să îi mulțumim lui Patrick Wardle de la DoubleYou și Objective-See Foundation pentru asistență.

Photos

Dorim să îi mulțumim lui James Robertson pentru asistență.

Security

Dorim să le mulțumim lui Bing Shi, Wenchao Li and Xiaolong Bai de la Alibaba Group pentru asistența acordată.