מידע על תוכן האבטחה של tvOS 18.1
מסמך זה מתאר את תוכן האבטחה של tvOS 18.1.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
tvOS 18.1
הופץ ב-28 באוקטובר 2024
App Support
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום זדוני עלול להצליח להפעיל קיצורי דרך שרירותיים ללא הסכמת המשתמש
תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.
CVE-2024-44255: חוקר אנונימי
AppleAVD
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של המערכת
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2024-44232: Ivan Fratric מ-Google Project Zero
CVE-2024-44233: Ivan Fratric מ-Google Project Zero
CVE-2024-44234: Ivan Fratric מ-Google Project Zero
הרשומה נוספה ב-1 בנובמבר 2024
CoreMedia Playback
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab
CoreText
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-44240: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
Foundation
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-44282: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2024-44215: Junsung Lee יחד עם Trend Micro Zero Day Initiative
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2024-44297: Jex Amro
IOSurface
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2024-44285: חוקר אנונימי
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים
תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Pro Res
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44277: חוקר אנונימי ו-Yinyi Wu (@_3ndy1) מ-Dawn Security Lab of JD.com, Inc.
Security
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.
CVE-2024-54538: Bing Shi, Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, ו-Luyi Xing מ-Indiana University Bloomington
הרשומה נוספה ב-19 בדצמבר 2024
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: קובצי Cookie השייכים למקור אחד עלולים להישלח למקור אחר
תיאור: בעיה של ניהול קובצי Cookie טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 279226
CVE-2024-44212: Wojciech Regula מ-SecuRing (wojciechregula.blog)
הרשומה נוספה ב-11 בדצמבר 2024
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 279780
CVE-2024-44244: חוקר אנונימי, Q1IQ (@q1iqF) ו-P1umer (@p1umer)
תודות נוספות
ImageIO
אנחנו מבקשים להודות ל-Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations, חוקר אנונימי על הסיוע.
NetworkExtension
אנחנו מבקשים להודות ל-Patrick Wardle מ-DoubleYou & the Objective-See Foundation על הסיוע.
Photos
אנחנו מבקשים להודות ל-James Robertson על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.