Over de beveiligingsinhoud van tvOS 17.5

In dit document wordt de beveiligingsinhoud van tvOS 17.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 17.5

Apple Neural Engine

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een lokale aanvaller kan het systeem onverwacht uitschakelen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27826: Minghao Lin en Ye Zhang (@VAR10CK) van Baidu Security

AppleAVD

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem is verholpen door verbeterde validatie van omgevingsvariabelen.

CVE-2024-27805: Kirin (@Pwnrin) en 小来来 (@Smi1eSEC)

CoreMedia

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27817: pattern-f (@pattern_F_) van Ant Security Light-Year Lab

CoreMedia

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2024-27831: Amir Bazine en Karsten König van CrowdStrike Counter Adversary Operations

Disk Images

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27832: een anonieme onderzoeker

Foundation

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27801: CertiK SkyFall Team

IOSurface

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller die al kernelcode kan uitvoeren, kan mogelijk ook beveiligingsmechanismen van het kernelgeheugen omzeilen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27840: een anonieme onderzoeker

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2024-27815: een anonieme onderzoeker en Joseph Ravichandran (@0xjprx) van MIT CSAIL

Kernel

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkpakketten vervalsen

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2024-27823: Prof. Benny Pinkas van Bar-Ilan University, Prof. Amit Klein van Hebrew University, en EP

libiconv

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27811: Nick Wellnhofer

Maps

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2024-27810: LFY@secsys van Fudan University

Messages

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot een denial-of-service

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2024-27800: Daniel Zajork en Joshua Zajork

Metal

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in samenwerking met het Zero Day Initiative van Trend Micro

Metal

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2024-27857: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

RemoteViewServices

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-27816: Mickey Jin (@patch1t)

Spotlight

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde opschoning van de omgeving.

CVE-2024-27806

Transparency

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door middel van een nieuwe bevoegdheid.

CVE-2024-27884: Mickey Jin (@patch1t)

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27834: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

CVE-2024-27838: Emilio Cobos van Mozilla

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27808: Lukas Bernhard van CISPA Helmholtz Center for Information Security

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2024-27833: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-27851: Nan Wang (@eternalsakura13) van het 360 Vulnerability Research Institute

WebKit Canvas

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-27830: Joe Rutkowski (@Joe12387) van Crawless en @abrahamjuliot

WebKit Web Inspector

Beschikbaar voor: Apple TV HD en Apple TV 4K (alle modellen)

Impact: het verwerken van webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27820: Jeff Johnson van underpassapp.com

Aanvullende erkenning

App Store

Met dank aan een anonieme onderzoeker voor de hulp.

AppleMobileFileIntegrity

Met dank aan Mickey Jin (@patch1t) voor de hulp.

CoreHAP

Met dank aan Adrian Cable voor de hulp.

Disk Images

Met dank aan Mickey Jin (@patch1t) voor de hulp.

ImageIO

Met dank aan een anonieme onderzoeker voor de hulp.

Managed Configuration

Met dank aan 遥遥领先 (@晴天组织) voor de hulp.