tvOS 18.1のセキュリティコンテンツについて

tvOS 18.1のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

tvOS 18.1のセキュリティコンテンツについて

App Support

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意を持って作成されたアプリがユーザの承諾なしに任意のショートカットを実行できる可能性がある。

説明：ロジックを改善することで、パスの処理における脆弱性に対処しました。

CVE-2024-44255：匿名の研究者

AppleAVD

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意を持って作成されたビデオファイルを解析すると、予期せずシステムが終了する可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2024-44232：Google Project ZeroのIvan Fratric氏

CVE-2024-44233：Google Project ZeroのIvan Fratric氏

CVE-2024-44234：Google Project ZeroのIvan Fratric氏

CoreMedia Playback

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意のあるアプリに、非公開の情報にアクセスされる可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2024-44273：pattern-f氏（@pattern_F_）、Loadshine LabのHikerell氏

CoreText

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44240：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

CVE-2024-44302：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

Foundation

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：ファイルを解析すると、ユーザ情報が漏洩する可能性がある。

説明：入力検証を強化することで、領域外読み込みに対処しました。

CVE-2024-44282：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

ImageIO

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2024-44215：Trend Micro Zero Day Initiativeに協力するJunsung Lee氏

ImageIO

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意を持って作成されたメッセージを処理すると、サービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2024-44297：Jex Amro氏

IOSurface

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2024-44285：匿名の研究者

Kernel

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、情報漏洩の脆弱性に対処しました。

CVE-2024-44239：Mateusz Krzywicki氏（@krzywix）

Managed Configuration

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2024-44258：Hichem Maloufi氏、Christian Mina氏、Ismail Amzdak氏

MobileBackup

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。

説明：ファイル処理を改善し、ロジックの問題に対処しました。

CVE-2024-44252：Nimrat Khalsa氏、Davis Dai氏、James Gill氏（@jjtech@infosec.exchange）

Pro Res

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-44277：JD.com, Inc.のDawn Security Labの匿名の研究者およびYinyi Wu氏（@_3ndy1）

WebKit

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44296：Suma Soft Pvt.Ltd.（インド、プネー）のNarendra Bhati氏（Manager of Cyber Security）

WebKit

対象：Apple TV HDおよびApple TV 4K（すべてのモデル）

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：入力検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2024-44244：匿名の研究者、Q1IQ氏（@q1iqF）およびP1umer氏（@p1umer）

ご協力いただいたその他の方々

ImageIO

CrowdStrike Counter Adversary OperationsのAmir Bazine氏およびKarsten König氏、匿名の研究者のご協力に感謝いたします。

NetworkExtension

DoubleYouおよびObjective-See FoundationのPatrick Wardle氏のご協力に感謝いたします。

Photos

James Robertson氏のご協力に感謝いたします。

Security

Alibaba GroupのBing Shi氏、Wenchao Li氏、Xiaolong Bai氏のご協力に感謝いたします。