Проблеми системи безпеки, які усунено в оновленні tvOS 18

У цьому документі описано проблеми системи безпеки, які усунено в оновленні tvOS 18.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

tvOS 18

Дата випуску: 16 вересня 2024 р.

Game Center

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом до файлів вирішено завдяки поліпшенню перевірки вводу.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-27880: Junsung Lee

ImageIO

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2024-44176: користувач dw0r із ZeroPointer Lab, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, анонімний дослідник

IOSurfaceAccelerator

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-44169: Antonio Zekić

Kernel

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: програма може отримати несанкціонований доступ до Bluetooth.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) і Mathy Vanhoef

LaunchServices

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: шкідлива програма може змінювати інші програми без дозволу системи керування програмами.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

Запис додано 3 березня 2025 р.

libxml2

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-44198: користувач OSS-Fuzz і Ned Williamson із підрозділу Google Project Zero

mDNSResponder

Доступно для: Apple TV HD та Apple TV 4K (усі моделі)

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-44183: Olivier Levon

Model I/O

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого зображення може призводити до відмови в обслуговуванні.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2023-5841

SceneKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки розміру.

CVE-2024-44144: 냥냥

Запис додано 28 жовтня 2024 р.

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.

Опис: проблему з керування файлами cookie вирішено завдяки поліпшенню керування станами.

WebKit Bugzilla: 287874

CVE-2024-54467: Narendra Bhati, керівник відділу кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

Запис додано 3 березня 2025 р.

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 268770

CVE-2024-44192: Tashita Software Security

Запис додано 3 березня 2025 р.

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: обробка шкідливого вебконтенту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

WebKit Bugzilla: 268724

CVE-2024-40857: Ron Masas

WebKit

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.

Опис: виникала проблема з перехресними джерелами, що пов’язані з елементами iFrame. Цю проблему вирішено шляхом удосконаленого відстеження джерел безпеки.

WebKit Bugzilla: 279452

CVE-2024-44187: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

Wi-Fi

Доступно для: Apple TV HD й Apple TV 4K (усі моделі)

Вплив: зловмисник може змусити пристрій відключитися від захищеної мережі.

Опис: проблему з цілісністю вирішено завдяки Beacon Protection.

CVE-2024-40856: Preet Dsouza (Коледж Флемінга, програма комп’ютерної безпеки та розслідувань), Domien Schepers

Запис оновлено 3 березня 2025 р.

Додаткова подяка

dyld

Дякуємо за допомогу користувачам Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi із Shielder (shielder.com).

Запис додано 3 березня 2025 р.

Kernel

Дякуємо за допомогу Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) із PixiePoint Security.

Notifications

Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі, Dev dutta (manas.dutta.75) і Prateek Pawar (vakil sahab).

Запис додано 3 березня 2025 р.

Photos

Дякуємо за допомогу Junior Vergara.

Запис додано 3 березня 2025 р.

SharePlay

Дякуємо за допомогу анонімному досліднику.

Запис додано 3 березня 2025 р.

WebKit

Дякуємо за допомогу Avi Lumelsky з Oligo Security, Uri Katz з Oligo Security, Eli Grey (eligrey.com) і Johan Carlsson (joaxcar).

Запис оновлено 28 жовтня 2024 р.

Wi-Fi

Дякуємо за допомогу Antonio Zekic (@antoniozekic), ant4g0nist і Tim Michaud (@TimGMichaud) з Moveworks.ai.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: