מידע על תוכן האבטחה של tvOS 18.1

מסמך זה מתאר את תוכן האבטחה של tvOS 18.1.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

tvOS 18.1

הופץ ב-28 באוקטובר 2024

App Support

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום זדוני עלול להצליח להפעיל קיצורי דרך שרירותיים ללא הסכמת המשתמש

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2024-44255: חוקר אנונימי

AppleAVD

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של המערכת

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-44232‏: Ivan Fratric מ-Google Project Zero

CVE-2024-44233‏: Ivan Fratric מ-Google Project Zero

CVE-2024-44234‏: Ivan Fratric מ-Google Project Zero

הרשומה נוספה ב-1 בנובמבר 2024

CoreMedia Playback

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2024-44273‏: pattern-f (@pattern_F_)‏, Hikerell of Loadshine Lab

CoreText

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44240‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

CVE-2024-44302‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

Foundation

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-44282‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

ImageIO

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2024-44215‏: Junsung Lee יחד עם Trend Micro Zero Day Initiative

ImageIO

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-44297‏: Jex Amro

IOSurface

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2024-44285: חוקר אנונימי

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-44239‏: Mateusz Krzywicki (@krzywix)‎

Managed Configuration

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2024-44258‏: Hichem Maloufi‏, Christian Mina‏, Ismail Amzdak

MobileBackup

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים

תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.

CVE-2024-44252‏: Nimrat Khalsa‏, Davis Dai‏, James Gill (@jjtech@infosec.exchange)‎

Pro Res

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44277: חוקר אנונימי ו-Yinyi Wu ‏(‎@_3ndy1) מ-Dawn Security Lab of JD.com, Inc.‎

Security

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2024-54538‏: Bing Shi,‏ Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, ו-Luyi Xing מ-Indiana University Bloomington

הרשומה נוספה ב-19 בדצמבר 2024

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: קובצי Cookie השייכים למקור אחד עלולים להישלח למקור אחר

תיאור: בעיה של ניהול קובצי Cookie טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 279226

CVE-2024-44212: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

הרשומה נוספה ב-11 בדצמבר 2024

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 278765

CVE-2024-44296‏: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt.‎ Ltd, פונה (הודו)

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla‏: 279780

CVE-2024-44244: חוקר אנונימי, Q1IQ ‏(‎@q1iqF) ו-P1umer ‏(‎@p1umer)

תודות נוספות

ImageIO

אנחנו מבקשים להודות ל-Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations, חוקר אנונימי על הסיוע.

NetworkExtension

אנחנו מבקשים להודות ל-Patrick Wardle מ-DoubleYou & the Objective-See Foundation על הסיוע.

Photos

אנחנו מבקשים להודות ל-James Robertson על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: