מידע על תוכן האבטחה של tvOS 17.6
מסמך זה מתאר את תוכן האבטחה של tvOS 17.6.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
tvOS 17.6
הופץ ב-29 ביולי 2024
AppleMobileFileIntegrity
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-40799: D4m0n
dyld
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2024-40815: w0wbox
Family Sharing
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2024-40795: Csaba Fitzl (@theevilbit) מ-Kandji
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: זוהי פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על ידי צד שלישי. ניתן ללמוד עוד על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-40806: Yisumi
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-40777: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative, ו-Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2024-40784: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative ו-Gandalf4a
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף מקומי עלול להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-27863: CertiK SkyFall Team
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף מקומי עלול להצליח לגרום לכיבוי בלתי צפוי של המערכת
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-40788: Minghao Lin ו-Jiaxun Zhu מ-Zhejiang University
libxpc
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2024-40805
Sandbox
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-40824: Wojciech Regula מ-SecuRing (wojciechregula.blog) ו-Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin מ-Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin מ-Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin מ-Ant Group Light-Year Security Lab
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-40789: Seunghyun Lee (@0x10n) מ-KAIST Hacking Lab בעבודה עם Trend Micro Zero Day Initiative
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.