Obsah zabezpečenia v systéme tvOS 17.6
V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 17.6.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.
tvOS 17.6
Vydané 29. júla 2024
AppleMobileFileIntegrity
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Problém so znížením úrovne bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-40799: D4m0n
dyld
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dosah: Útočník so zlými úmyslami s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2024-40815: w0wbox
Family Sharing
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2024-40795: Csaba Fitzl (@theevilbit) z tímu Kandji
ImageIO
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-40806: Yisumi
ImageIO
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2024-40777: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Amir Bazine a Karsten König z tímu CrowdStrike Counter Adversary Operations
ImageIO
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-40784: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Gandalf4a
Kernel
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Miestny útočník môže byť schopný určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Vplyv: Lokálny útočník môže byť schopný spôsobiť neočakávané vypnutie systému
Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-40788: Minghao Lin a Jiaxun Zhu z univerzity v Če-ťiangu
libxpc
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2024-40805
Sandbox
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2024-40824: Wojciech Regula z tímu SecuRing (wojciechregula.blog) a Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab of JingDong
WebKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin z tímu Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin z tímu Ant Group Light-Year Security Lab
WebKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin z tímu Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2024-40789: Seunghyun Lee (@0x10n) z tímu KAIST Hacking Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Dátum pridania záznamu: 15. októbra 2024
WebKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Používateľ môže byť schopný obísť niektoré obmedzenia webového obsahu
Popis: Pri spracúvaní URL protokolov dochádzalo k problému, ktorý bol vyriešený vylepšením logiky.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger a Ro Achterberg
Dátum pridania záznamu: 15. októbra 2024
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.