Проблеми системи безпеки, які усунено в оновленні tvOS 18.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні tvOS 18.1.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

Проблеми системи безпеки, які усунено в оновленні tvOS 18.1

App Support

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: шкідлива програма може виконувати довільні швидкі команди без згоди користувача.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню логіки.

CVE-2024-44255: анонімний дослідник

AppleAVD

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: аналіз шкідливого відеофайлу може призводити до неочікуваного завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-44232: Ivan Fratric із Google Project Zero

CVE-2024-44233: Ivan Fratric із Google Project Zero

CVE-2024-44234: Ivan Fratric із Google Project Zero

CoreMedia Playback

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: шкідлива програма може отримувати доступ до приватної інформації.

Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab

CoreText

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44240: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

Foundation

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: аналіз файлу може призводити до розкриття інформації про користувача.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2024-44282: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

ImageIO

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка зображення може призводити до розкриття пам’яті процесів.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44215: Junsung Lee, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

ImageIO

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого повідомлення може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-44297: Jex Amro

IOSurface

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2024-44285: анонімний дослідник

Kernel

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему з розкриттям інформації вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.

Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричиняти несподіване завершення роботи системи або пошкоджувати пам’ять ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-44277: анонімний дослідник і Yinyi Wu(@_3ndy1) із підрозділу Dawn Security Lab компанії JD.com, Inc.

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка зловмисного вебвмісту може завадити застосуванню політики безпеки вмісту.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44296: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2024-44244: анонімний дослідник, Q1IQ (@q1iqF) і P1umer (@p1umer)

Додаткова подяка

ImageIO

Дякуємо за допомогу Amir Bazine і Karsten König із CrowdStrike Counter Adversary Operations, а також анонімному досліднику.

NetworkExtension

Дякуємо за допомогу Patrick Wardle із DoubleYou та команді Objective-See Foundation.

Photos

Дякуємо за допомогу користувачу James Robertson.

Security

Дякуємо за допомогу Bing Shi, Wenchao Li та Xiaolong Bai з Alibaba Group.