Obsah zabezpečenia v systéme tvOS 18
V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 18.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.
tvOS 18
Dátum vydania: 16. septembra 2024
Game Center
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Problém s prístupom k súborom sa vyriešil vylepšením overovania vstupu.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-27880: Junsung Lee
ImageIO
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2024-44176: dw0r z ZeroPointer Lab spolupracujúci s Trend Micro Zero Day Initiative, anonymný výskumník
IOSurfaceAccelerator
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-44169: Antonio Zekić
Kernel
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Apka môže získať neoprávnený prístup k rozhraniu Bluetooth
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef
libxml2
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero
mDNSResponder
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.
CVE-2024-44183: Olivier Levon
Model I/O
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby.
Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.
CVE-2023-5841
SceneKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2024-44144: 냥냥
Dátum pridania záznamu: 28. októbra 2024
WebKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Tento problém bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)
Wi-Fi
Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)
Dopad: Útočník môže prinútiť zariadenie odpojiť sa od zabezpečenej siete.
Popis: Problém s integritou bol riešený pomocou prvku Beacon Protection.
CVE-2024-40856: Domien Schepers
Ďalšie poďakovanie
Kernel
Poďakovanie za pomoc si zaslúži Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.
WebKit
Poďakovanie za pomoc si zaslúžia Avi Lumelsky z tímu Oligo Security, Uri Katz z tímu Oligo Security, Eli Grey (eligrey.com) a Johan Carlsson (joaxcar).
Dátum aktualizovania záznamu: 28. októbra 2024
Wi-Fi
Poďakovanie za pomoc si zaslúži Antonio Zekic (@antoniozekic) a ant4g0nist, Tim Michaud (@TimGMichaud) z Moveworks.ai.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.