Сведения о проблемах системы безопасности, устраняемых обновлением tvOS 18.2
В этом документе описаны проблемы системы безопасности, устраняемые в tvOS 18.2.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
tvOS 18.2
Выпущено 11 декабря 2024 г.
APFS
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) и анонимный исследователь
Запись добавлена 27 января 2025 г.
Apple Account
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может отслеживать действия пользователя.
Описание. Проблема устранена путем улучшения обработки протоколов.
CVE-2024-40864: Wojciech Regula из SecuRing (wojciechregula.blog)
Запись добавлена 2 апреля 2025 г.
AppleMobileFileIntegrity
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Вредоносное приложение может получать доступ к личной информации.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54526: Mickey Jin (@patch1t) и Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшения проверок.
CVE-2024-54527: Mickey Jin (@patch1t)
Crash Reporter
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.
CVE-2024-54513: анонимный исследователь
FontParser
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54486: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative
ICU
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2024-54478: Gary Kwong
Запись добавлена 27 января 2025 г.
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2024-54499: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 27 января 2025 г.
ImageIO
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54500: Junsung Lee в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
IOMobileFrameBuffer
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может раскрывать данные из памяти поврежденного сопроцессора.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2024-54517: Ye Zhang (@VAR10CK) из Baidu Security
CVE-2024-54518: Ye Zhang (@VAR10CK) из Baidu Security
CVE-2024-54522: Ye Zhang (@VAR10CK) из Baidu Security
CVE-2024-54523: Ye Zhang (@VAR10CK) из Baidu Security
Запись добавлена 27 января 2025 г.
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54468: анонимный исследователь
Запись добавлена 27 января 2025 г.
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Злоумышленник может создать отображение памяти, доступной только для чтения, в которую будет возможна запись.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2024-54494: sohybbyk
Kernel
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.
Описание. Условие состязания устранено путем улучшения блокировки.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) из MIT CSAIL
libexpat
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.
CVE-2024-45490
libxpc
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54514: анонимный исследователь
libxpc
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
MobileBackup
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При восстановлении вредоносного файла резервной копии возможно изменение защищенных системных файлов.
Описание. Проблема с логикой устранена путем улучшенной обработки файлов.
CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (совместная находка Davis Dai, ORAC 落云 и Frank Du)
Запись добавлена 17 марта 2025 г.
QuartzCore
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54497: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 27 января 2025 г.
SceneKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного файла может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-54501: Michael DePlante (@izobashi) из Trend Micro в рамках программы Zero Day Initiative
Vim
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. При обработке вредоносного файла возможно повреждение динамической памяти.
Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.
CVE-2024-45306
Запись добавлена 27 января 2025 г.
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka из Google Project Zero
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy из HKUS3Lab и пользователь chluo из WHUSecLab, Xiangwei Zhang из Tencent Security YUNDING LAB
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Целевые продукты: Apple TV HD и Apple TV 4K (все модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong и анонимный исследователь
Запись обновлена 27 января 2025 г.
Дополнительные благодарности
FaceTime
Выражаем благодарность за помощь 椰椰.
Proximity
Выражаем благодарность за помощь Junming C. (@Chapoly1305) и проф. Qiang Zeng из Университета Джорджа Мейсона.
Swift
Выражаем благодарность за помощь Marc Schoenefeld, док. ест. из Корейского университета.
WebKit
Выражаем благодарность за помощь Hafiizh.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.