Om sikkerhetsinnholdet i tvOS 17.5

Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 17.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på denne siden for Apple-produktsikkerhet.

tvOS 17.5

Utgitt 13. mai 2024

AppleAVD

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Oppføring oppdatert 15. mai 2024

AppleMobileFileIntegrity

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper kan få tilgang til brukerdata

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem ble løst ved å forbedre valideringen av miljøvariabler.

CVE-2024-27805: Kirin (@Pwnrin) og 小来来 (@Smi1eSEC)

Oppføring lagt til 10. juni 2024

CoreMedia

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27817: pattern-f (@pattern_F_) hos Ant Security Light-Year Lab

Oppføring lagt til 10. juni 2024

CoreMedia

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27831: Amir Bazine og Karsten König hos CrowdStrike Counter Adversary Operations

Oppføring lagt til 10. juni 2024

Disk Images

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan klare å utvide rettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27832: en anonym forsker

Oppføring lagt til 10. juni 2024

Foundation

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan klare å utvide rettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27801: CertiK SkyFall Team

Oppføring lagt til 10. juni 2024

IOSurface

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) hos STAR Labs SG Pte. Ltd.

Oppføring lagt til 10. juni 2024

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan forbigå kjerneminnebeskyttelser

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-27840: en anonym forsker

Oppføring lagt til 10. juni 2024

Kernel

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27815: en anonym forsker og Joseph Ravichandran (@0xjprx) hos MIT CSAIL

Oppføring lagt til 10. juni 2024

libiconv

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan klare å utvide rettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27811: Nick Wellnhofer

Oppføring lagt til 10. juni 2024

Maps

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.

CVE-2024-27810: LFY@secsys hos Fudan University

Messages

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig melding kan føre til tjenestenekt

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-27800: Daniel Zajork og Joshua Zajork

Oppføring lagt til 10. juni 2024

Metal

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 10. juni 2024

Metal

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En ekstern angriper kan forårsake uventet appavslutning eller utilsiktet kodekjøring

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-27857: Michael DePlante (@izobashi) hos Trend Micro Zero Day Initiative

Oppføring lagt til 10. juni 2024

RemoteViewServices

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper kan få tilgang til brukerdata

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-27816: Mickey Jin (@patch1t)

Spotlight

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.

CVE-2024-27806

Oppføring lagt til 10. juni 2024

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: En angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) i samarbeid med Trend Micro's Zero Day Initiative

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et skadelig nettsted kan samle inn identifiserende brukerinformasjon

Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.

WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos of Mozilla

Oppføring lagt til 10. juni 2024

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard hos CISPA Helmholtz Center for Information Security

Oppføring lagt til 10. juni 2024

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 10. juni 2024

WebKit

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) hos 360 Vulnerability Research Institute

Oppføring lagt til 10. juni 2024

WebKit Canvas

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Et skadelig nettsted kan samle inn identifiserende brukerinformasjon

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) hos Crawless, og @abrahamjuliot

Oppføring lagt til 10. juni 2024

WebKit Web Inspector

Tilgjengelig for: Apple TV HD og Apple TV 4K (alle modeller)

Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson hos underpassapp.com

Oppføring lagt til 10. juni 2024

 


Ytterligere anerkjennelser

App Store

Vi vil gjerne takke en anonym forsker for hjelpen.

AppleMobileFileIntegrity

Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.

Oppføring lagt til 10. juni 2024

CoreHAP

Vi vil gjerne takke Adrian Cable for hjelpen.

Disk Images

Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.

Oppføring lagt til 10. juni 2024

ImageIO

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 10. juni 2024

Managed Configuration

Vi vil gjerne takke 遥遥领先 (@晴天组织) for hjelpen.

Transparency

Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.

Oppføring lagt til 10. juni 2024

 

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: