tvOS 18 のセキュリティコンテンツについて

tvOS 18 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Apple のセキュリティリリース」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

tvOS 18

Game Center

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：アプリが重要なユーザデータにアクセスできる可能性がある。

説明：入力検証を強化して、ファイルへのアクセスの問題に対処しました。

CVE-2024-40850：Denis Tokarev (@illusionofcha0s) 氏

ImageIO

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：悪意を持って作成されたファイルを処理すると、アプリが予期せず終了する可能性がある。

説明：入力検証を強化して、領域外読み込みの脆弱性に対処しました。

CVE-2024-27880：Junsung Lee 氏

ImageIO

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。

CVE-2024-44176: Trend Micro Zero Day Initiative 参加の ZeroPointer Lab の dw0r 氏、匿名の研究者

IOSurfaceAccelerator

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：アプリがシステムを予期せず終了させる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44169：Antonio Zekić 氏

Kernel

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：アプリが Bluetooth に不正アクセスできる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-44191：Alexander Heinrich 氏、SEEMOO、DistriNet、KU Leuven (@vanhoefm)、TU Darmstadt (@Sn0wfreeze) および Mathy Vanhoef 氏

libxml2

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：悪意を持って作成された Web コンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：入力検証を強化することで、整数オーバーフローに対処しました。

CVE-2024-44198：OSS-Fuzz, Google Project Zero の Ned Williamson 氏

mDNSResponder

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：アプリからサービス運用妨害を受ける可能性がある。

説明：ファイル処理を改善し、ロジックの問題に対処しました。

CVE-2024-44183：Olivier Levon 氏

Model I/O

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：悪意を持って作成された画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトには Apple ソフトウェアも含まれます。CVE-ID はサードパーティによって割り当てられました。この問題や CVE-ID についての詳細は、cve.org を確認してください。

CVE-2023-5841

WebKit

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：悪意を持って作成された Web コンテンツを処理すると、ユニバーサルクロスサイトスクリプティング攻撃につながるおそれがある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2024-40857：Ron Masas 氏

WebKit

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：悪意のある Web サイトに、データをクロスオリジンで取得される可能性がある。

説明："iframe" 要素にクロスオリジンの脆弱性がありました。この問題は、セキュリティオリジンの追跡を強化することで解決されました。

CVE-2024-44187：Suma Soft Pvt. Ltd. (インド、プネー) の Narendra Bhati 氏

Wi-Fi

対象：Apple TV HD および Apple TV 4K (すべてのモデル)

影響：攻撃者は、デバイスを強制的に安全なネットワークから切断できる可能性がある。

説明：Beacon 保護で整合性の問題に対処しました。

CVE-2024-40856：Domien Schepers 氏

ご協力いただいたその他の方々

Kernel

Braxton Anderson 氏、PixiePoint Security の Fakhri Zulkifli 氏 (@d0lph1n98) のご協力に感謝いたします。

WebKit

Avi Lumelsky 氏、Uri Katz 氏、(Oligo Security)、Johan Carlsson 氏 (joaxcar) のご協力に感謝したいと思います。

Wi-Fi

Antonio Zekic 氏 (@antoniozekic)、ant4g0nist 氏、Moveworks.ai の Tim Michaud 氏 (@TimGMichaud) のご協力に感謝いたします。