מידע על תוכן האבטחה של tvOS 18.3
מסמך זה מתאר את תוכן האבטחה של tvOS 18.3.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
tvOS 18.3
הופץ ב-27 בינואר 2025
AirPlay
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף ברשת המקומית עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון תהליך
תיאור: טופלה בעיה באימות קלט.
CVE-2025-24126: Uri Katz (Oligo Security)
AirPlay
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2025-24129: Uri Katz (Oligo Security)
AirPlay
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף במיקום מורשה עלול להצליח לבצע מניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2025-24131: Uri Katz (Oligo Security)
AirPlay
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2025-24137: Uri Katz (Oligo Security)
ARKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu ו-Xingwei Lin מ-Zhejiang University
CoreAudio
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ניתוח של קובץ עלול להוביל לסיום בלתי צפוי של יישום
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2025-24123: Desmond יחד עם Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car ו-Rotiple (HyeongSeok Jang) יחד עם Trend Micro Zero Day Initiative
CoreMedia
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS קודמות ל-iOS 17.2.
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2025-24085
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2025-24086: DongJun Kim (@smlijun) ו-JongSeong Kim (@nevul37) ב-Enki WhiteHat, D4m0n
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ייתכן שיישום זדוני יוכל לקבל הרשאות שורש
תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.
CVE-2025-24107: חוקר אנונימי
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2025-24159: pattern-f (@pattern_F_)
SceneKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2025-24149: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) מ-NUS CuriOSity ו-P1umer (@p1umer) מ-Imperial Global Singapore.
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy מ-HKUS3Lab ו-chluo מ-WHUSecLab
תודות נוספות
Audio
אנחנו מבקשים להודות ל-Google Threat Analysis Group על הסיוע.
CoreAudio
אנחנו מבקשים להודות ל-Google Threat Analysis Group על הסיוע.
CoreMedia Playback
אנחנו מבקשים להודות ל-Song Hyun Bae (@bshyuunn) ול-Lee Dong Ha (Who4mI) על הסיוע.
Passwords
אנחנו מבקשים להודות ל-Talal Haj Bakry ול-Tommy Mysk מ-Mysk Inc. @mysk_co על הסיוע.
Static Linker
אנחנו מבקשים להודות ל-Holger Fuhrmannek על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.