Om sikkerhetsinnholdet i tvOS 18.3
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 18.3.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.
Mer informasjon finnes på siden for Apple-produktsikkerhet.
tvOS 18.3
Utgitt 27. januar 2025
AirPlay
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt
Beskrivelse: Derefereringen av en nullreferanse ble løst med forbedret validering av inndata.
CVE-2025-24179: Uri Katz (Oligo Security)
Oppføring lagt til 28. april 2025
AirPlay
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En angriper på det lokale nettverket kan skade prosessminne
Beskrivelse: Et problem med validering av inndata ble løst.
CVE-2025-24126: Uri Katz (Oligo Security)
Oppføring oppdatert 28. april 2025
AirPlay
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En angriper på det lokale nettverket kan forårsake uventet avslutning av et program
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.
CVE-2025-24129: Uri Katz (Oligo Security)
Oppføring oppdatert 28. april 2025
AirPlay
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En angriper på det lokale nettverket kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2025-24131: Uri Katz (Oligo Security)
Oppføring oppdatert 28. april 2025
AirPlay
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En angriper på det lokale nettverket kan korrumpere prosessminne
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.
CVE-2025-24137: Uri Katz (Oligo Security)
Oppføring oppdatert 28. april 2025
ARKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Parsing av en fil kan føre til uventet appavslutning
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2025-24127: Minghao Lin (@Y1nKoc), babywu, og Xingwei Lin fra Zhejiang University
CoreAudio
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Parsing av en fil kan føre til uventet appavslutning
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2025-24160: Google Threat Analysis Group
CVE-2025-24161: Google Threat Analysis Group
CVE-2025-24163: Google Threat Analysis Group
CoreMedia
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Parsing av en fil kan føre til uventet appavslutning
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2025-24123: Desmond i samarbeid med Trend Micro Zero Day Initiative
CVE-2025-24124: Pwn2car og Rotiple (HyeongSeok Jang) i samarbeid med Trend Micro Zero Day Initiative
CoreMedia
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En skadelig app kan utvide rettigheter. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS før iOS 17.2.
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2025-24085
CoreMedia Playback
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan forårsake uventet systemavslutning
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2025-24184: Song Hyun Bae (@bshyuunn) og Lee Dong Ha (Who4mI)
Oppføring lagt til 16. mai 2025
Display
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan forårsake uventet systemavslutning
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2025-24111: Wang Yu fra Cyberserval
Oppføring lagt til 12. mai 2025
ImageIO
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2025-24086: DongJun Kim (@smlijun) og JongSeong Kim (@nevul37) i Enki WhiteHat, D4m0n
Kernel
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan lekke sensitiv kjernetilstand
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.
CVE-2025-24144: Mateusz Krzywicki (@krzywix)
Oppføring lagt til 12. mai 2025
Kernel
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En skadelig app kan få rotrettigheter
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2025-24107: en anonym forsker
Kernel
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2025-24159: pattern-f (@pattern_F_)
libxslt
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.
CVE-2024-55549: Ivan Fratric fra Google Project Zero
CVE-2025-24855: Ivan Fratric fra Google Project Zero
Oppføring lagt til 16. mai 2025
PackageKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2025-31262: Mickey Jin (@patch1t)
Oppføring lagt til 16. mai 2025
SceneKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2025-24149: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 284332
CVE-2025-24189: en anonym forsker
Oppføring lagt til 16. mai 2025
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av nettinnhold kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 283889
CVE-2025-24158: Q1IQ (@q1iqF) fra NUS CuriOSity og P1umer (@p1umer) fra Imperial Global Singapore.
WebKit
Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)
Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 284159
CVE-2025-24162: linjy fra HKUS3Lab og chluo fra WHUSecLab
Ytterligere anerkjennelser
Audio
Vi vil gjerne takke Google Threat Analysis Group for hjelpen.
CoreAudio
Vi vil gjerne takke Google Threat Analysis Group for hjelpen.
iCloud
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, George Kovaios og Srijan Poudel for hjelpen.
Oppføring lagt til 16. mai 2025
Passwords
Vi vil gjerne takke Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co for hjelpen.
Static Linker
Vi vil gjerne takke Holger Fuhrmannek for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.