A tvOS 18.1

Ez a dokumentum a tvOS 18.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

A tvOS 18.1 biztonsági változásjegyzéke

App Support

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A rosszindulatú célból létrehozott alkalmazások bizonyos esetekben felhasználói hozzájárulás nélkül tudtak tetszőleges parancsokat futtatni.

Leírás: A logika javításával elhárítottunk egy útvonalkezelési hibát.

CVE-2024-44255: anonim kutató

CoreMedia Playback

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell (Loadshine Lab)

CoreText

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44240: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

CVE-2024-44302: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

Foundation

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-44282: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

ImageIO

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44215: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)

ImageIO

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44297: Jex Amro

IOSurface

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2024-44285: anonim kutató

Kernel

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egy rosszindulatú célból létrehozott fájl visszaállítása bizonyos esetekben a védett rendszerfájlok módosításához vezetett.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egy rosszindulatú célból létrehozott fájl visszaállítása bizonyos esetekben a védett rendszerfájlok módosításához vezetett.

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Pro Res

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Egyes alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44277: egy anonim kutató és Yinyi Wu(@_3ndy1, Dawn Security Lab, JD.com, Inc.)

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44296: Narendra Bhati (menedzser, Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

WebKit

A következőkhöz érhető el: Apple TV HD és Apple TV 4K (az összes modell)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2024-44244: egy anonim kutató, Q1IQ (@q1iqF) és P1umer (@p1umer)

További köszönetnyilvánítás

ImageIO

Köszönjük Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations) és egy anonim kutató segítségét.

NetworkExtension

Köszönjük Patrick Wardle (DoubleYou & the Objective-See Foundation) segítségét.

Photos

Szeretnénk megköszönni James Robertson segítségét.

Security

Köszönjük Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group) segítségét.