Om sikkerhetsinnholdet i tvOS 18

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 18.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

tvOS 18

Game Center

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et filtilgangsproblem ble løst gjennom forbedret validering av inndata.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27880: Junsung Lee

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-44176: dw0r fra ZeroPointer Lab arbeider med Trend Micro Zero Day Initiative, en anonym forsker

IOSurfaceAccelerator

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44169: Antonio Zekić

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få uautorisert tilgang til Bluetooth

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef

LaunchServices

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En skadelig app kan få muligheten til å endre andre apper uten tillatelse for appadministrasjon

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

libxml2

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2024-44198: OSS-Fuzz, Ned Williamson hos Google Project Zero

mDNSResponder

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan være i stand til å forårsake tjenestenekt

Beskrivelse: En logikkfeil ble løst gjennom forbedret feilhåndtering.

CVE-2024-44183: Olivier Levon

Model I/O

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-5841

SceneKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.

CVE-2024-44144: 냥냥

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Et problem med informasjonskapsler ble løst med forbedret tilstandshåndtering.

CVE-2024-54467: Narendra Bhati, leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44192: Tashita Software Security

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-40857: Ron Masas

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et problem på tvers av opprinnelsessteder i «iframe»-elementer. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.

CVE-2024-44187: Narendra Bhati, leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper kan tvinge en enhet til å koble seg fra et sikkert nettverk

Beskrivelse: Et integritetsproblem ble løst med blussbeskyttelse.

CVE-2024-40856: Preet Dsouza (Fleming College, Computer Security & Investigations Program), Domien Schepers

Ytterligere anerkjennelser

dyld

Vi vil gjerne takke Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi fra Shielder (shielder.com) for hjelpen.

Kernel

Vi vil gjerne takke Braxton Anderson og Fakhri Zulkifli (@d0lph1n98) hos PixiePoint Security for hjelpen.

Notifications

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal, Dev Dutta (manas.dutta.75), og Prateek Pawar (vakil sahab) for hjelpen.

Photos

Vi vil gjerne takke Junior Vergara for hjelpen.

SharePlay

Vi vil gjerne takke en anonym forsker for hjelpen.

WebKit

Vi vil gjerne takke Avi Lumelsky fra Oligo Security, Uri Katz fra Oligo Security, Eli Grey (eligrey.com) og Johan Carlsson (joaxcar) for hjelpen.

Wi-Fi

Vi vil gjerne takke Antonio Zekic (@antoniozekic) og ant4g0nist, Tim Michaud (@TimGMichaud) hos Moveworks.ai for hjelpen.