Om säkerhetsinnehållet i tvOS 18
I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 18.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
tvOS 18
Släpptes 16 september 2024
Game Center
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett problem med filåtkomst åtgärdades genom förbättrad indatavalidering.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-27880: Junsung Lee
ImageIO
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av en bild kan leda till ett dos-angrepp
Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2024-44176: dw0r på ZeroPointer Lab som arbetar med Trend Micro Zero Day Initiative, en anonym forskare
IOSurfaceAccelerator
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En app kanske kan orsaka ett oväntat systemavslut
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-44169: Antonio Zekić
Kernel
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En app kan få obehörig åtkomst till Bluetooth
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) och Mathy Vanhoef
libxml2
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2024-44198: OSS-Fuzz, Ned Williamson på Google Project Zero
mDNSResponder
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En app kan kanske orsaka ett DoS-angrepp
Beskrivning: Ett logikfel åtgärdades genom förbättrad filhantering.
CVE-2024-44183: Olivier Levon
Model I/O
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av en skadlig bild kan leda till ett dos-angrep
Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.
CVE-2023-5841
SceneKit
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.
CVE-2024-44144: 냥냥
Lades till 28 oktober 2024
WebKit
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor
Beskrivning: Ett problem med data från flera källor förekom i ”iframe”-element. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager of Cyber Security på Suma Soft Pvt. Ltd, Pune (Indien)
Wi-Fi
Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)
Effekt: En angripare kanske kan tvinga en enhet att avbryta anslutningen till ett säkert nätverk
Beskrivning: Ett integritetsproblem åtgärdades med Beacon Protection.
CVE-2024-40856: Domien Schepers
Ytterligare tack
Kernel
Vi vill tacka Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) på PixiePoint Security för hjälpen.
WebKit
Vi vill tacka Avi Lumelsky på Oligo Security, Uri Katz på Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar) för hjälpen.
Uppdaterades 28 oktober 2024
Wi-Fi
Vi vill tacka Antonio Zekic (@antoniozekic) och ant4g0nist, Tim Michaud (@TimGMichaud) of Moveworks.ai för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.