Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 18.1
В этом документе описаны проблемы системы безопасности, устраняемые в tvOS 18.1.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
tvOS 18.1
Дата выпуска: 28 октября 2024 г.
App Support
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Вредоносное приложение может выполнять произвольные быстрые команды без согласия пользователя.
Описание. Проблема с обработкой путей устранена за счет улучшения логики.
CVE-2024-44255: анонимный исследователь
AppleAVD
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Анализ вредоносного видеофайла может привести к неожиданному завершению работы системы.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2024-44232: Ivan Fratric из Google Project Zero
CVE-2024-44233: Ivan Fratric из Google Project Zero
CVE-2024-44234: Ivan Fratric из Google Project Zero
Запись добавлена 1 ноября 2024 г.
CoreMedia Playback
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Вредоносное приложение может получать доступ к личной информации.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell из Loadshine Lab
CoreText
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-44240: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative
Foundation
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Анализ файла может приводить к раскрытию данных пользователя.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-44282: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения проверок.
CVE-2024-44215: Junsung Lee в рамках Trend Micro Zero Day Initiative
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2024-44297: Jex Amro
IOSurface
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2024-44285: анонимный исследователь
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.
Описание. Проблема раскрытия информации была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При восстановлении вредоносного файла резервной копии возможно изменение защищенных системных файлов.
Описание. Проблема устранена путем улучшенной обработки символических ссылок.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При восстановлении вредоносного файла резервной копии возможно изменение защищенных системных файлов.
Описание. Проблема с логикой устранена путем улучшенной обработки файлов.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-44277: анонимный исследователь и Yinyi Wu (@_3ndy1) из Dawn Security Lab в JD.com, Inc.
Security
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Удаленный злоумышленник может вызывать отказ в обслуживании.
Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.
CVE-2024-54538: Bing Shi, Wenchao Li и Xiaolong Bai из Alibaba Group и Luyi Xing из Индианского университета в Блумингтоне
Запись добавлена 19 декабря 2024 г.
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Файлы cookie, принадлежащие одному источнику, могут быть отправлены другому.
Описание. Проблема с управлением файлами cookie устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 279226
CVE-2024-44212: Wojciech Regula из SecuRing (wojciechregula.blog)
Запись добавлена 11 декабря 2024 г.
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, руководитель отдела кибербезопасности Suma Soft Pvt. Ltd, Пуна (Индия)
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
WebKit Bugzilla: 279780
CVE-2024-44244: анонимный исследователь, пользователи Q1IQ (@q1iqF) и P1umer (@p1umer)
Дополнительные благодарности
ImageIO
Выражаем благодарность за помощь Amir Bazine и Karsten König из CrowdStrike Counter Adversary Operations, а также анонимному исследователю.
NetworkExtension
Выражаем благодарность за помощь Patrick Wardle из DoubleYou и фонду Objective-See Foundation.
Photos
Выражаем благодарность за помощь пользователю James Robertson.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.