Tietoja tvOS 17.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 17.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

tvOS 17.6

AppleMobileFileIntegrity

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40799: D4m0n

dyld

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-40815: w0wbox

Family Sharing

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2024-40795: Csaba Fitzl (@theevilbit, Kandji)

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: Tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40806: Yisumi

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40777: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen sekä Amir Bazinen ja Karsten Königin (CrowdStrike Counter Adversary Operations) kanssa

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40784: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen ja Gandalf4an kanssa

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: paikallinen hyökkääjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-40788: Minghao Lin ja Jiaxun Zhu (Zhejiang University)

libxpc

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40805

Sandbox

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40824: Wojciech Regula (SecuRing, wojciechregula.blog) ja Zhongquan Li (@Guluisacat, Dawn Security Lab of JingDong)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab) yhdessä Trend Micro Zero Day Initiativen kanssa