tvOS 18.3のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2025年1月27日リリース
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。
説明:入力検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-2025-24179:Uri Katz氏(Oligo Security)
2025年4月28日に追加
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ローカルネットワーク上の攻撃者にプロセスメモリを破損される可能性がある。
説明:入力検証における脆弱性に対処しました。
CVE-2025-24126:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ローカルネットワーク上の攻撃者にアプリを突然終了される可能性がある。
説明:チェックを強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2025-24129:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ローカルネットワーク上の攻撃者からサービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24131:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ローカルネットワーク上の攻撃者にプロセスメモリを破損される可能性がある。
説明:チェックを強化し、型の取り違え(type confusion)の脆弱性に対処しました。
CVE-2025-24137:Uri Katz氏(Oligo Security)
2025年4月28日に更新
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24127:Minghao Lin氏(@Y1nKoc)、babywu氏、浙江大学のXingwei Lin氏
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24160:Google Threat Analysis Group
CVE-2025-24161:Google Threat Analysis Group
CVE-2025-24163:Google Threat Analysis Group
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ファイルを解析すると、アプリが予期せず終了する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2025-24123:Trend Micro Zero Day Initiativeに協力するDesmond氏
CVE-2025-24124:Trend Micro Zero Day Initiativeに協力するPwn2carおよびRotiple(HyeongSeok Jang氏)
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:悪意のあるアプリケーションに権限を昇格される可能性がある。Appleでは、iOS 17.2より前のバージョンのiOSで、この脆弱性が悪用された可能性があるという報告を把握しています。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2025-24085
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24184:Song Hyun Bae氏(@bshyuunn)、Lee Dong Ha氏(Who4mI)
2025年5月16日に追加
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:アプリがシステムを予期せず終了させる可能性がある。
説明:ステート管理を改善し、メモリ破損の脆弱性に対処しました。
CVE-2025-24111:CyberservalのWang Yu氏
2025年5月12日に追加
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:画像を処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
CVE-2025-24086:Enki WhiteHatのDongJun Kim氏(@smlijun)およびJongSeong Kim氏(@nevul37)、D4m0n氏
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:脆弱なコードを削除することで、情報漏洩の脆弱性に対処しました。
CVE-2025-24144:Mateusz Krzywicki氏(@krzywix)
2025年5月12日に追加
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:悪意のあるアプリがルート権限を取得できる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-24107:匿名の研究者
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:アプリがカーネル権限で任意のコードを実行できる可能性がある。
説明:ロジックを改良し、検証の脆弱性に対処しました。
CVE-2025-24159:pattern-f氏(@pattern_F)
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-55549:Google Project ZeroのIvan Fratric氏
CVE-2025-24855:Google Project ZeroのIvan Fratric氏
2025年5月16日に追加
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ファイルシステムの保護された部分をアプリに変更されるおそれがある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2025-31262:Mickey Jin氏(@patch1t)
2025年5月16日に追加
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。
CVE-2025-24149:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:284332
CVE-2025-24189:匿名の研究者
2025年5月16日に追加
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:283889
CVE-2025-24158:NUS CuriOSityのQ1IQ氏(@q1iqF)およびImperial Global SingaporeのP1umer氏(@p1umer)
対象:Apple TV HDおよびApple TV 4K(すべてのモデル)
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
WebKit Bugzilla:284159
CVE-2025-24162:HKUS3Labのlinjy氏およびWHUSecLabのchluo氏
Google Threat Analysis Groupのご協力に感謝いたします。
Google Threat Analysis Groupのご協力に感謝いたします。
Lakshmi Narain College of Technology Bhopal IndiaのAbhay Kailasia氏(@abhay_kailasia)、George Kovaios氏、Srijan Poudel氏のご協力に感謝いたします。
2025年5月16日に追加
Mysk Inc. @mysk_coのTalal Haj Bakry氏およびTommy Mysk氏のご協力に感謝いたします。
Holger Fuhrmannek氏のご協力に感謝いたします。