Obsah zabezpečenia v systéme tvOS 18

V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 18.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke Zabezpečenie produktov Apple.

tvOS 18

Game Center

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Aplikácia môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s prístupom k súborom, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie

Popis: Dochádzalo k problému s čítaním údajov mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-27880: Junsung Lee

ImageIO

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-44176: dw0r z ZeroPointer Lab spolupracujúci s Trend Micro Zero Day Initiative, anonymný výskumník

IOSurfaceAccelerator

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44169: Antonio Zekić

Kernel

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Aplikácia môže získať neoprávnený prístup k rozhraniu Bluetooth

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

libxml2

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero

mDNSResponder

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Aplikácia môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.

CVE-2024-44183: Olivier Levon

Model I/O

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odopretiu služby

Popis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2023-5841

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-40857: Ron Masas

WebKit

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie údajov s rôznym pôvodom

Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.

CVE-2024-44187: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Wi-Fi

Dostupné pre: Apple TV HD a Apple TV 4K (všetky modely)

Dopad: Útočník môže prinútiť zariadenie odpojiť sa od zabezpečenej siete

Popis: Problém s integritou bol riešený pomocou prvku Beacon Protection.

CVE-2024-40856: Domien Schepers

Ďalšie poďakovanie

Kernel

Poďakovanie za pomoc si zaslúži Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.

WebKit

Poďakovanie za pomoc si zaslúži Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar).

Wi-Fi

Poďakovanie za pomoc si zaslúži Antonio Zekic (@antoniozekic) a ant4g0nist, Tim Michaud (@TimGMichaud) z Moveworks.ai.