Informacije o sigurnosnom sadržaju sustava tvOS 17.5
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 17.5.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 17.5
Objavljeno 13. svibnja 2024.
Apple Neural Engine
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27826: Minghao Lin i Ye Zhang (@VAR10CK) (Baidu Security)
Unos je dodan 29. srpnja 2024.
AppleAVD
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Unos je ažuriran 15. svibnja 2024.
AppleMobileFileIntegrity
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen boljom provjerom varijabli u okruženju.
CVE-2024-27805: Kirin (@Pwnrin) i 小来来 (@Smi1eSEC)
Unos je dodan 10. lipnja 2024.
CoreMedia
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Unos je dodan 10. lipnja 2024.
CoreMedia
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27831: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)
Unos je dodan 10. lipnja 2024.
Disk Images
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27832: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Foundation
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27801: CertiK SkyFall Team
Unos je dodan 10. lipnja 2024.
IOSurface
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zaštite kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27840: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27815: anonimni istraživač i Joseph Ravichandran (@0xjprx) (MIT CSAIL)
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač s mrežnim ovlastima mogao bi lažirati mrežne pakete
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2024-27823: prof. Benny Pinkas sa Sveučilišta Bar-Ilan, prof. Amit Klein s Hebrejskog sveučilišta i EP
Unos je dodan 29. srpnja 2024.
libiconv
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27811: Nick Wellnhofer
Unos je dodan 10. lipnja 2024.
Maps
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-27810: LFY@secsys (Sveučilište Fudan)
Messages
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-27800: Daniel Zajork i Joshua Zajork
Unos je dodan 10. lipnja 2024.
Metal
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
Metal
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-27857: Michael DePlante (@izobashi), inicijativa Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
RemoteViewServices
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
Spotlight
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2024-27806
Unos je dodan 10. lipnja 2024.
Transparency
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen novom ovlasti.
CVE-2024-27884: Mickey Jin (@patch1t)
Unos je dodan 29. srpnja 2024.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen dodavanje dodatne logike.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard (CISPA Helmholtz Center for Information Security)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
Unos je dodan 10. lipnja 2024.
WebKit Canvas
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) (Crawless) i @abrahamjuliot
Unos je dodan 10. lipnja 2024.
WebKit Web Inspector
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Unos je dodan 10. lipnja 2024.
Dodatna zahvala
App Store
Na pomoći zahvaljujemo anonimnom istraživaču.
AppleMobileFileIntegrity
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.
CoreHAP
Željeli bismo zahvaliti Adrianu Cableu na pomoći.
Disk Images
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.
ImageIO
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos je dodan 10. lipnja 2024.
Managed Configuration
Željeli bismo zahvaliti 遥遥领先 (@晴天组织) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.