Tietoja tvOS 18.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 18.1:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
Tietoja tvOS 18.1:n turvallisuussisällöstä
Julkaistu 28.10.2024
App Support
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisia pikakomentoja ilman käyttäjän suostumusta.
Kuvaus: polun käsittelyn ongelma on ratkaistu parantamalla logiikkaa.
CVE-2024-44255: nimetön tutkija
CoreMedia Playback
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2024-44273: pattern-f (@pattern_F_) ja Hikerell (Loadshine Lab)
CoreText
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-44240: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CVE-2024-44302: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Foundation
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-44282: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2024-44215: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa
ImageIO
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2024-44297: Jex Amro
IOSurface
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2024-44285: nimetön tutkija
Kernel
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen varmuuskopiotiedoston palauttaminen saattoi johtaa suojattujen järjestelmätiedostojen muuttumiseen.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen varmuuskopiotiedoston palauttaminen saattoi johtaa suojattujen järjestelmätiedostojen muuttumiseen.
Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-44277: nimetön tutkija ja Yinyi Wu(@_3ndy1, Dawn Security Lab of JD.com, Inc.)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati (Manager of Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)
WebKit
Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 279780
CVE-2024-44244: nimetön tutkija, Q1IQ (@q1iqF) ja P1umer (@p1umer)
Kiitokset
ImageIO
Haluamme kiittää avusta Amir Bazinea ja Karsten Königiä (CrowdStrike Counter Adversary Operations) sekä nimetöntä tutkijaa.
NetworkExtension
Haluamme kiittää avusta Patrick Wardlea (DoubleYou ja Objective-See Foundation).
Kuvat
Haluamme kiittää avusta James Robertsonia.
Suojaus
Haluamme kiittää avusta seuraavia henkilöitä: Bing Shi, Wenchao Li ja Xiaolong Bai (Alibaba Group).
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.