Om sikkerhetsinnholdet i tvOS 18

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 18.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

tvOS 18

Game Center

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem med filtilgang ble løst gjennom forbedret validering av inndata.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27880: Junsung Lee

ImageIO

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-44176: dw0r hos ZeroPointer Lab i samarbeid med Trend Micro Zero Day Initiative, en anonym forsker

IOSurfaceAccelerator

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44169: Antonio Zekić

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få uautorisert tilgang til Bluetooth

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef

libxml2

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2024-44198: OSS-Fuzz, Ned Williamson hos Google Project Zero

mDNSResponder

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: En logikkfeil ble utbedret med forbedret feilhåndtering.

CVE-2024-44183: Olivier Levon

Model I/O

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-5841

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-40857: Ron Masas

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et problem på tvers av opprinnelsessteder i «iframe»-elementer. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.

CVE-2024-44187: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper kan tvinge en enhet til å koble seg fra et sikkert nettverk

Beskrivelse: Et integritetsproblem ble løst med blussbeskyttelse.

CVE-2024-40856: Domien Schepers

Ytterligere anerkjennelser

Kernel

Vi vil gjerne takke Braxton Anderson og Fakhri Zulkifli (@d0lph1n98) hos PixiePoint Security for hjelpen.

WebKit

Vi vil gjerne takke Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) for hjelpen.

Wi-Fi

Vi vil gjerne takke Antonio Zekic (@antoniozekic) og ant4g0nist, Tim Michaud (@TimGMichaud) hos Moveworks.ai for hjelpen.