מידע על תוכן האבטחה של tvOS 18.2

מסמך זה מתאר את תוכן האבטחה של tvOS 18.2.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.

tvOS 18.2

הופץ ב-11 בדצמבר 2024

APFS

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-54541: ‏Arsenii Kostromin‏ (0x3c3e) וחוקר אנונימי

הרשומה נוספה ב-27 בינואר 2025

Apple Account

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לעקוב אחר פעילות של משתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בפרוטוקולים.

CVE-2024-40864:‏ Wojciech Regula מ-SecuRing ‏(wojciechregula.blog)

הרשומה נוספה ב-2 באפריל 2025

AppleMobileFileIntegrity

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-54526: ‏Mickey Jin‏ (‎@patch1t), ‏Arsenii Kostromin‏ (0x3c3e)

AppleMobileFileIntegrity

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2024-54527: ‏Mickey Jin‏ (‎@patch1t)

Crash Reporter

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-54513: חוקר אנונימי

FontParser

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-54486: ‏Hossein Lotfi‏ (‎@hosselot) מ-Trend Micro Zero Day Initiative

ICU

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-54478: ‏Gary Kwong

הרשומה נוספה ב-27 בינואר 2025

ImageIO

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2024-54499: אנונימי יחד עם Trend Micro Zero Day Initiative

הרשומה נוספה ב-27 בינואר 2025

ImageIO

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-54500: ‏Junsung Lee יחד עם Trend Micro Zero Day Initiative

IOMobileFrameBuffer

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח להשחית את הזיכרון של מעבד העזר

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-54517: ‏Ye Zhang‏ (‎@VAR10CK) מ-Baidu Security

CVE-2024-54518: ‏Ye Zhang‏ (‎@VAR10CK) מ-Baidu Security

CVE-2024-54522: ‏Ye Zhang‏ (‎@VAR10CK) מ-Baidu Security

CVE-2024-54523: ‏Ye Zhang‏ (‎@VAR10CK) מ-Baidu Security

הרשומה נוספה ב-27 בינואר 2025

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-54468: חוקר אנונימי

הרשומה נוספה ב-27 בינואר 2025

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף עלול להצליח ליצור מיפוי זיכרון לקריאה בלבד שניתן לכתיבה

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2024-54494: ‏sohybbyk

Kernel

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2024-54510: ‏Joseph Ravichandran‏ (‎@0xjprx) מ-MIT CSAIL

libexpat

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-45490

libxpc

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-54514: חוקר אנונימי

libxpc

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-44225: ‏风沐云烟‏(‎@binary_fmyy)

MobileBackup

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: שחזור קובץ גיבוי שנוצר באופן זדוני עלול להוביל לשינויים בקובצי מערכת מוגנים

תיאור: בעיית לוגיקה תוקנה באמצעות טיפול משופר בקבצים.

CVE-2024-54525‏: Andrew James Gonzalez‏, Dragon Fruit Security (תגלית משותפת של Davis Dai‏, ORAC 落云‏, Frank Du)

הרשומה נוספה ב-17 במרץ 2025

QuartzCore

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-54497: אנונימי יחד עם Trend Micro Zero Day Initiative

הרשומה נוספה ב-27 בינואר 2025

SceneKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-54501: ‏Michael DePlante‏ (‎@izobashi) מ-Zero Day Initiative של Trend Micro

Vim

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2024-45306

הרשומה נוספה ב-27 בינואר 2025

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: ‏278497

CVE-2024-54479: ‏Junsung Lee

WebKit Bugzilla‏: 281912

CVE-2024-54502: ‏Brendon Tiszka מ-Google Project Zero

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 282180

CVE-2024-54508: ‏linjy מ-HKUS3Lab ו-chluo מ-WHUSecLab, ‏Xiangwei Zhang מ-Tencent Security YUNDING LAB

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla: ‏282661

CVE-2024-54505: ‏Gary Kwong

WebKit

זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להשחתת זיכרון

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 277967

CVE-2024-54534: ‏Tashita Software Security

WebKit Bugzilla‏: 282450

CVE-2024-54543: ‏Lukas Bernhard, ‏Gary Kwong וחוקר אנונימי

הרשומה עודכנה ב-27 בינואר 2025

הכרה נוספת

FaceTime

ברצוננו להודות ל-椰椰 על הסיוע.

Proximity

אנחנו מבקשים להודות ל-Junming C.‎‏ (‎@Chapoly1305) ול-Prof. Qiang Zeng מ-George Mason University על הסיוע.

Swift

אנחנו מבקשים להודות ל-Marc Schoenefeld, ל-Dr. rer.‎ nat.‎ על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Hafiizh על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: