Obsah zabezpečenia v systéme tvOS 17.6

V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 17.6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

tvOS 17.6

AppleMobileFileIntegrity

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Problém so znížením úrovne bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40799: D4m0n

dyld

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Útočník so zlými úmyslami s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-40815: w0wbox

Family Sharing

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2024-40795: Csaba Fitzl (@theevilbit) z tímu Kandji

ImageIO

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40806: Yisumi

ImageIO

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-40777: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Amir Bazine a Karsten König z tímu CrowdStrike Counter Adversary Operations

ImageIO

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40784: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Gandalf4a

Kernel

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Lokálny útočník môže byť schopný určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Lokálny útočník môže byť schopný spôsobiť neočakávané vypnutie systému

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-40788: Minghao Lin a Jiaxun Zhu z univerzity v Če-ťiangu

libxpc

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40805

Sandbox

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-40824: Wojciech Regula z tímu SecuRing (wojciechregula.blog) a Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab of JingDong

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2024-40776: Huang Xilin z tímu Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-40779: Huang Xilin z tímu Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin z tímu Ant Group Light-Year Security Lab

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-40789: Seunghyun Lee (@0x10n) z tímu KAIST Hacking Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro