Acerca del contenido de seguridad de tvOS 18

En este documento se describe el contenido de seguridad de tvOS 18.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 18

Game Center

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una app podría acceder a datos confidenciales de los usuarios

Descripción: se ha solucionado un problema de acceso a archivos mediante la mejora de la validación de las entradas.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s).

ImageIO

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de la app.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2024-27880: Junsung Lee.

ImageIO

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar una imagen podría provocar una denegación de servicio.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2024-44176: dw0r de ZeroPointer Lab en colaboración con Trend Micro Zero Day Initiative y un investigador anónimo.

IOSurfaceAccelerator

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una aplicación puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2024-44169: Antonio Zekić.

Kernel

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una aplicación podría obtener acceso no autorizado a Bluetooth.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) y Mathy Vanhoef.

libxml2

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso.

Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.

CVE-2024-44198: OSS-Fuzz y Ned Williamson de Google Project Zero.

mDNSResponder

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: una aplicación puede provocar una denegación de servicio.

Descripción: se ha solucionado un error de lógica con la mejora de la gestión de errores.

CVE-2024-44183: Olivier Levon.

Model I/O

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Más información sobre el tema y el CVE-ID en cve.org.

CVE-2023-5841

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2024-40857: Ron Masas.

WebKit

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

Descripción: existía un problema de orígenes cruzados con elementos “iframe”. Este problema se ha solucionado mejorando el seguimiento de los orígenes de seguridad.

CVE-2024-44187: Narendra Bhati, dirección de Cyber Security en Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Disponible para: Apple TV HD y Apple TV 4K (todos los modelos)

Impacto: un atacante puede ser capaz de forzar a un dispositivo a desconectarse de una red segura.

Descripción: se ha solucionado un problema de integridad con la protección de balizas.

CVE-2024-40856: Domien Schepers.

Otros agradecimientos

Kernel

Queremos dar gracias a Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security por su ayuda.

WebKit

Queremos dar las gracias a Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) por su ayuda.

Wi-Fi

Queremos dar las gracias a Antonio Zekic (@antoniozekic) and ant4g0nist, Tim Michaud (@TimGMichaud) de Moveworks.ai por su ayuda.