Om säkerhetsinnehållet i tvOS 18

I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 18.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen finns på sidanApples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

tvOS 18

Game Center

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Ett problem med filåtkomst åtgärdades genom förbättrad indatavalidering.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-27880: Junsung Lee

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-44176: dw0r på ZeroPointer Lab i samarbete med Trend Micro Zero Day Initiative och en anonym forskare

IOSurfaceAccelerator

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-44169: Antonio Zekić

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan få obehörig åtkomst till Bluetooth

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) och Mathy Vanhoef

libxml2

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2024-44198: OSS-Fuzz, Ned Williamson på Google Project Zero

mDNSResponder

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan kanske orsaka ett DoS-angrepp

Beskrivning: Ett logikfel åtgärdades med hjälp av förbättrad felhantering.

CVE-2024-44183: Olivier Levon

Model I/O

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en skadlig bild kan leda till att åtkomst till tjänsten nekas

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2023-5841

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40857: Ron Masas

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett problem med data från flera källor förekom i ”iframe”-element. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security på Suma Soft Pvt. Ltd, Pune (Indien)

Wi-Fi

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare kanske kan tvinga en enhet att avbryta anslutningen till ett säkert nätverk

Beskrivning: Ett integritetsproblem åtgärdades med Beacon Protection.

CVE-2024-40856: Domien Schepers

Ytterligare tack

Kernel

Vi vill tacka Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) på PixiePoint Security för hjälpen.

WebKit

Vi vill tacka Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) för hjälpen.

Wi-Fi

Vi vill tacka Antonio Zekic (@antoniozekic) och ant4g0nist, Tim Michaud (@TimGMichaud) of Moveworks.ai för hjälpen.