Sobre o conteúdo de segurança do tvOS 18
Este documento descreve o conteúdo de segurança do tvOS 18.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão listadas na página Versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para saber mais sobre segurança, consulte a página Segurança do produto Apple.
tvOS 18
Lançamento: 16 de setembro de 2024
Game Center
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de acesso aos arquivos foi resolvido com a melhoria da validação de entradas.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-27880: Junsung Lee
ImageIO
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: o processamento de uma imagem pode levar a uma negação de serviço
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-44176: dw0r do ZeroPointer Lab trabalhando com a Trend Micro Zero Day Initiative, pesquisador anônimo
IOSurfaceAccelerator
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode causar o encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-44169: Antonio Zekić
Kernel
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode obter acesso não autorizado ao Bluetooth
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef
libxml2
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-44198: OSS-Fuzz, Ned Williamson do Google Project Zero
mDNSResponder
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um app pode ser capaz de causar uma negação de serviço
Descrição: um erro de lógica foi resolvido com a melhoria do tratamento de erros.
CVE-2024-44183: Olivier Levon
Model I/O
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar uma imagem criada com códigos maliciosos pode levar a uma negação de serviço
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2023-5841
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: havia um problema de origem cruzada em elementos "iframe". Esse problema foi resolvido por meio de melhorias no rastreamento de origens de segurança.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, gerente da Cyber Security at Suma Soft Pvt. Ltd, Pune (Índia)
Wi-Fi
Disponível para: Apple TV HD e Apple TV 4K (todos os modelos)
Impacto: um invasor pode forçar um dispositivo a se desconectar de uma rede segura
Descrição: um problema de integridade foi resolvido com o Beacon Protection.
CVE-2024-40856: Domien Schepers
Outros reconhecimentos
Kernel
Gostaríamos de agradecer a Braxton Anderson e Fakhri Zulkifli (@d0lph1n98) da PixiePoint Security pela ajuda.
WebKit
Gostaríamos de agradecer a Avi Lumelsky, Uri Katz, (Oligo Security) e Johan Carlsson (joaxcar) pela ajuda.
Wi-Fi
Gostaríamos de agradecer a Antonio Zekic (@antoniozekic), ant4g0nist e Tim Michaud (@TimGMichaud) da Moveworks.ai pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.