מידע על תוכן האבטחה של tvOS 18
מסמך זה מתאר את תוכן האבטחה של tvOS 18.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
tvOS 18
הופץ ב-16 בספטמבר 2024
Game Center
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה של גישה לקבצים טופלה באמצעות אימות קלט משופר.
CVE-2024-40850: דניס טוקארב (@illusionofcha0s)
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27880: Junsung Lee
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-44176: dw0r מ-ZeroPointer Lab בעבודה עם Trend Micro Zero Day Initiative, חוקר אנונימי
IOSurfaceAccelerator
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44169: Antonio Zekić
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול לקבל גישה לא מורשית ל-Bluetooth
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ו-Mathy Vanhoef
libxml2
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2024-44198: OSS-Fuzz, נד וויליאמסון מ-Google Project Zero
mDNSResponder
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: שגיאת לוגיקה נפתרה באמצעות טיפול משופר בשגיאות.
CVE-2024-44183: Olivier Levon
Model I/O
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2023-5841
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: בעיה של מקורות מרובים הייתה קיימת באלמנטים מסוג 'iframe'. הבעיה טופלה באמצעות מעקב משופר אחרי מקורות אבטחה.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)
Wi-Fi
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף עלול להצליח לגרום למכשיר להתנתק מרשת מאובטחת
תיאור: בעיית תקינות טופלה באמצעות Beacon Protection.
CVE-2024-40856: Domien Schepers
תודות נוספות
Kernel
אנחנו מבקשים להודות ל-Braxton Anderson, ל-Fakhri Zulkifli (@d0lph1n98) מ-PixiePoint Security על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Avi Lumelsky, ל-Uri Katz, (Oligo Security), ול-Johan Carlsson (joaxcar) על הסיוע.
Wi-Fi
אנחנו מבקשים להודות ל-Antonio Zekic (@antoniozekic) ול-ant4g0nist, Tim Michaud (@TimGMichaud) מ-Moveworks.ai על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.