Tietoja tvOS 17.5:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 17.5:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 17,5
Julkaistu 13.5.2024
Apple Neural Engine
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27826: Minghao Lin ja Ye Zhang (@VAR10CK, Baidu Security)
Kohta lisätty 29.7.2024
AppleAVD
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Kohta päivitetty 15.5.2024
AppleMobileFileIntegrity
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma korjattiin parantamalla ympäristömuuttujien validointia.
CVE-2024-27805: Kirin (@Pwnrin) ja 小来来 (@Smi1eSEC)
Kohta lisätty 10.6.2024
CoreMedia
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27817: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kohta lisätty 10.6.2024
CoreMedia
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-27831: Amir Bazine ja Karsten König, CrowdStrike Counter Adversary Operations
Kohta lisätty 10.6.2024
Disk Images
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27832: nimetön tutkija
Kohta lisätty 10.6.2024
Foundation
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27801: CertiK SkyFall Team
Kohta lisätty 10.6.2024
IOSurface
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte.) Ltd.)
Kohta lisätty 10.6.2024
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin suojaukset.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27840: nimetön tutkija
Kohta lisätty 10.6.2024
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-27815: nimetön tutkija ja Joseph Ravichandran (@0xjprx), MIT CSAIL
Kohta lisätty 10.6.2024
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä jäljittelemään verkkopaketteja.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2024-27823: professori Benny Pinkas (Bar-Ilan University), professori Amit Klein (Hebrew University) ja EP
Kohta lisätty 29.7.2024
libiconv
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27811: Nick Wellnhofer
Kohta lisätty 10.6.2024
Maps
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2024-27810: LFY@secsys (Fudan University)
Messages
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-27800: Daniel Zajork ja Joshua Zajork
Kohta lisätty 10.6.2024
Metal
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kohta lisätty 10.6.2024
Metal
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2024-27857: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Kohta lisätty 10.6.2024
RemoteViewServices
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-27816: Mickey Jin (@patch1t)
Spotlight
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.
CVE-2024-27806
Kohta lisätty 10.6.2024
Transparency
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Ongelma on ratkaistu uudella valtuutuksella.
CVE-2024-27884: Mickey Jin (@patch1t)
Kohta lisätty 29.7.2024
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 272750
CVE-2024-27834: Trend Micron Zero Day Initiativen parissa työskentelevä Manfred Paul (@_manfp)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.
Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos, Mozilla
Kohta lisätty 10.6.2024
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 268221
CVE-2024-27808: Benjamin Ehrfeld (CISPA Helmholtz Center for Information Security)
Kohta lisätty 10.6.2024
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kohta lisätty 10.6.2024
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13 / 360 Vulnerability Research Institute)
Kohta lisätty 10.6.2024
WebKit Canvas
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387), Crawless, ja @abrahamjuliot
Kohta lisätty 10.6.2024
WebKit Web Inspector
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Kohta lisätty 10.6.2024
Kiitokset
App Store
Haluamme kiittää avusta nimetöntä tutkijaa.
AppleMobileFileIntegrity
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
Kohta lisätty 10.6.2024
CoreHAP
Haluamme kiittää avusta Adrian Cablea.
Disk Images
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
Kohta lisätty 10.6.2024
ImageIO
Haluamme kiittää avusta nimetöntä tutkijaa.
Kohta lisätty 10.6.2024
Managed Configuration
Haluamme kiittää avusta käyttäjää 遥遥领先 (@晴天组织).
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.