Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 17.6
В этом документе описываются проблемы системы безопасности, устраняемые обновлением tvOS 17.6.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
tvOS 17.6
Дата выпуска: 29 июля 2024 г.
AppleMobileFileIntegrity
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема с переходом на более раннюю версию устранена c помощью дополнительных ограничений на подпись кода.
CVE-2024-40774: Микки Джин (Mickey Jin, @patch1t)
CoreGraphics
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения
Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.
CVE-2024-40799: пользователь D4m0n
dyld
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2024-40815: пользователь w0wbox
Family Sharing
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции
Описание. Проблема устранена путем улучшения защиты данных.
CVE-2024-40795: Чаба Фицл (Csaba Fitzl, @theevilbit) из Kandji
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Эта уязвимость в открытом исходном коде и программном обеспечении Apple входит в число затронутых проектов. Идентификатор CVE был назначен третьей стороной. Узнайте больше об этой проблеме и идентификаторе CVE на сайте cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения
Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.
CVE-2024-40806: пользователь Yisumi
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2024-40777: пользователь Юнсун Ли (Junsung Lee) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative и пользователи Амир Базин (Amir Bazine) и Карстен Кёниг (Karsten König) из CrowdStrike Counter Adversary Operations
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2024-40784: Юнсун Ли (Junsung Lee) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative и пользователь Gandalf4a
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Локальный злоумышленник может определить схему памяти ядра
Описание. Проблема раскрытия информации устранена путем улучшенного редактирования личных данных для записей журнала.
CVE-2024-27863: команда CertiK SkyFall Team
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Действия локального злоумышленника могут привести к неожиданному завершению работы системы
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2024-40788: Минхао Линь (Minghao Lin) и Цзясюнь Чжу (Jiaxun Zhu) из Чжэцзянского университета
libxpc
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2024-40805
Sandbox
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-40824: Войцех Регула (Wojciech Regula) из SecuRing (wojciechregula.blog) и Чжунцюань Ли (Zhongquan Li, @Guluisacat) из лаборатории Dawn Security Lab компании JingDong
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 273176
CVE-2024-40776: Хуан Силинь (Huang Xilin) из Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Максимилиан Мотыль (Maksymilian Motyl)
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
WebKit Bugzilla: 275431
CVE-2024-40779: Хуан Силинь (Huang Xilin) из Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Хуан Силинь (Huang Xilin) из Ant Group Light-Year Security Lab
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При обработке вредоносного веб-содержимого возможна атака с использованием межсайтовых сценариев
Описание. Проблема устранена путем улучшения проверок.
WebKit Bugzilla: 273805
CVE-2024-40785: Йохан Карлссон (Johan Carlsson, joaxcar)
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2024-40789: Сын Хен Ли (Seunghyun Lee, @0x10n) из KAIST Hacking Lab в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.