Om sikkerhetsinnholdet i tvOS 18
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 18.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 18
Utgitt 16. september 2024
Game Center
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et problem med filtilgang ble løst gjennom forbedret validering av inndata.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27880: Junsung Lee
ImageIO
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2024-44176: dw0r hos ZeroPointer Lab i samarbeid med Trend Micro Zero Day Initiative, en anonym forsker
IOSurfaceAccelerator
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan forårsake uventet systemavslutning
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-44169: Antonio Zekić
Kernel
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan få uautorisert tilgang til Bluetooth
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef
libxml2
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2024-44198: OSS-Fuzz, Ned Williamson hos Google Project Zero
mDNSResponder
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan forårsake tjenestenekt
Beskrivelse: En logikkfeil ble utbedret med forbedret feilhåndtering.
CVE-2024-44183: Olivier Levon
Model I/O
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.
CVE-2023-5841
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et problem på tvers av opprinnelsessteder i «iframe»-elementer. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)
Wi-Fi
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En angriper kan tvinge en enhet til å koble seg fra et sikkert nettverk
Beskrivelse: Et integritetsproblem ble løst med blussbeskyttelse.
CVE-2024-40856: Domien Schepers
Ytterligere anerkjennelser
Kernel
Vi vil gjerne takke Braxton Anderson og Fakhri Zulkifli (@d0lph1n98) hos PixiePoint Security for hjelpen.
WebKit
Vi vil gjerne takke Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) for hjelpen.
Wi-Fi
Vi vil gjerne takke Antonio Zekic (@antoniozekic) og ant4g0nist, Tim Michaud (@TimGMichaud) hos Moveworks.ai for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.