Informace o bezpečnostním obsahu tvOS 18

Tento dokument popisuje bezpečnostní obsah tvOS 18.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

tvOS 18

Game Center

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém s přístupem k souborům byl vyřešen vylepšením ověřování vstupů.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupu.

CVE-2024-27880: Junsung Lee

ImageIO

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování obrázku může vést k odepření služby.

Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.

CVE-2024-44176: dw0r ze ZeroPointer Lab ve spolupráci s iniciativou Zero Day Initiative společnosti Trend Micro, anonymní výzkumník

IOSurfaceAccelerator

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikace může způsobit neočekávané ukončení systému.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-44169: Antonio Zekić

Kernel

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikace může získat neoprávněný přístup k Bluetooth.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

LaunchServices

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Škodlivé aplikaci se může podařit pozměnit jiné aplikace bez oprávnění ke správě aplikací.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

libxml2

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z týmu Google Project Zero

mDNSResponder

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Chyba v logice byla vyřešena vylepšením zpracování chyb.

CVE-2024-44183: Olivier Levon

Model I/O

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2023-5841

SceneKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.

CVE-2024-44144: 냥냥

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Škodlivý web může získat data napříč původy.

Popis: Problém se správou cookies byl vyřešen vylepšením správy stavu.

CVE-2024-54467: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44192: Tashita Software Security

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-40857: Ron Masas

WebKit

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Škodlivý web může získat data napříč původy.

Popis: V prvcích iframe existoval problém se získáváním dat napříč původy. Problém byl vyřešen vylepšením sledování bezpečnostních původů.

CVE-2024-44187: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Wi-Fi

K dispozici pro: Apple TV HD a Apple TV 4K (všechny modely)

Dopad: Útočník může vynutit odpojení zařízení ze zabezpečené sítě.

Popis: Problém s integritou byl vyřešen službou Beacon Protection.

CVE-2024-40856: Preet Dsouza (Fleming College, Program počítačové bezpečnosti a vyšetřování), Domien Schepers

Další poděkování

dyld

Poděkování za pomoc zaslouží Pietro Francesco Tirenna, Davide Silvetti a Abdel Adim Oisfi z týmu (shielder.com).

Kernel

Poděkování za pomoc zaslouží Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) ze společnosti PixiePoint Security.

Notifications

Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal, Dev dutta (manas.dutta.75) a Prateek Pawar (vakil sahab).

Photos

Poděkování za pomoc zaslouží Junior Vergara.

SharePlay

Poděkování za pomoc zaslouží anonymní výzkumník.

WebKit

Poděkování za pomoc zaslouží Avi Lumelsky a Uri Katz ze společnosti Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar).

Wi-Fi

Poděkování za pomoc zaslouží Antonio Zekic (@antoniozekic) a ant4g0nist, Tim Michaud (@TimGMichaud) ze společnosti Moveworks.ai.