Informacije o sigurnosnom sadržaju sustava tvOS 18
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 18.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 18
Objavljeno 16. rujna 2024.
Game Center
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupanjem datoteci riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27880: Junsung Lee
ImageIO
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-44176: dw0r (ZeroPointer Lab) u suradnji s projektom Zero Day Initiative (Trend Micro) i anonimni istraživač
IOSurfaceAccelerator
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-44169: Antonio Zekić
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija može steći neovlašten pristup Bluetoothu
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef
libxml2
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)
mDNSResponder
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: logička je pogreška riješena poboljšanim rješavanjem pogrešaka.
CVE-2024-44183: Olivier Levon
Model I/O
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerne slike može dovesti do odbijanja usluge
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2023-5841
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)
Wi-Fi
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač bi mogao prisilno odspojiti uređaj sa sigurne mreže
Opis: problem s integritetom riješen je uvođenjem dodatne razine zaštite (Beacon).
CVE-2024-40856: Domien Schepers
Dodatna zahvala
Kernel
Na pomoći zahvaljujemo Braxtonu Andersonu i Fakhriju Zulkifliju (@d0lph1n98) (PixiePoint Security).
WebKit
Na pomoći se zahvaljujemo korisnicima Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar).
Wi-Fi
Na pomoći se zahvaljujemo korisnicima Antonio Zekic (@antoniozekic) i ant4g0nist, Tim Michaud (@TimGMichaud) (Moveworks.ai).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.