À propos des correctifs de sécurité de tvOS 18
Ce document décrit les correctifs de sécurité de tvOS 18.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont fournies sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
tvOS 18
Publié le 16 septembre 2024
Game Center
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut accéder à des données sensibles de l’utilisateur.
Description : un problème d’accès aux fichiers a été résolu par une meilleure validation des entrées.
CVE-2024-40850 : Denis Tokarev (@illusionofcha0s)
ImageIO
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2024-27880 : Junsung Lee
ImageIO
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2024-44176 : dw0r de ZeroPointer Lab avec l’initiative Trend Micro Zero Day Initiative et un chercheur anonyme
IOSurfaceAccelerator
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app peut être en mesure de provoquer l’arrêt inopiné du système
Description : le problème a été résolu par une meilleure gestion de la mémoire.
CVE-2024-44169 : Antonio Zekić
Kernel
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une application est susceptible d’obtenir un accès non autorisé au Bluetooth.
Description : ce problème a été résolu par une meilleure gestion des états.
CVE-2024-44191 : Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) et Mathy Vanhoef
libxml2
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.
Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.
CVE-2024-44198 : OSS-Fuzz, Ned Williamson de Google Project Zero
mDNSResponder
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : une app pourrait être en mesure de provoquer un déni de service.
Description : une erreur de logique a été résolu par une meilleure gestion des fichiers.
CVE-2024-44183 : Olivier Levon
Model I/O
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement d’une image malveillante peut entraîner un déni de service.
Description : une vulnérabilité est présente dans le code open source et les logiciels Apple font partie des projets concernés. La référence CVE a été attribuée par un tiers. Consultez le site cve.org pour en savoir plus sur le problème et la référence CVE.
CVE-2023-5841
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : le traitement de contenu web malveillant peut provoquer une injection de code indirect universel.
Description : ce problème a été résolu par une meilleure gestion des états.
WebKit Bugzilla : 268724
CVE-2024-40857 : Ron Masas
WebKit
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : un site web malveillant peut extraire des données provenant d’origines multiples.
Description : un problème d’origines multiples existait au niveau des éléments « iframe ». Ce problème a été résolu par l’amélioration de la fonction de suivi des origines de sécurité.
WebKit Bugzilla : 279452
CVE-2024-44187 : Narendra Bhati, responsable de la cybersécurité de Suma Soft Pvt. Ltd, à Pune (Inde)
Wi-Fi
Disponible pour : Apple TV HD et Apple TV 4K (tous les modèles)
Conséquence : un attaquant peut forcer un appareil à se déconnecter d’un réseau sécurisé
Description : un problème d’intégrité a été résolu par la protection Beacon.
CVE-2024-40856 : Domien Schepers
Remerciements supplémentaires
Kernel
Nous tenons à remercier Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security pour leur aide.
WebKit
Nous tenons à remercier Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) pour leur aide.
Wi-Fi
Nous tenons à remercier Antonio Zekic (@antoniozekic) et ant4g0nist, Tim Michaud (@TimGMichaud) de Moveworks.ai pour leur aide.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.