Om säkerhetsinnehållet i tvOS 17.6

I det här dokumentet beskrivs säkerhetsinnehållet i tvOS 17.6.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

tvOS 17.6

AppleMobileFileIntegrity

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett nedgraderingsproblem åtgärdades med ytterligare kodsigneringsbegränsningar.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-40799: D4m0n

dyld

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En angripare med opålitlig läs- och skrivkapacitet kan kringgå pekarautentisering

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2024-40815: w0wbox

Family Sharing

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2024-40795: Csaba Fitzl (@theevilbit) på Kandji

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-40806: Yisumi

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40777: Junsung Lee i samarbete med Trend Micro Zero Day Initiative, och Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations

ImageIO

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2024-40784: Junsung Lee i samarbete med Trend Micro Zero Day Initiative och Gandalf4a

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En lokal angripare kanske kan ta reda på schemat för kernelminnet

Beskrivning: Ett problem med att information avslöjades åtgärdades med förbättrad redigering av privata data för loggposter.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En lokal angripare kanske kan orsaka en oväntad systemavstängning

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2024-40788: Minghao Lin och Jiaxun Zhu från Zhejiang University

libxpc

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2024-40805

Sandbox

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40824: Wojciech Regula på SecuRing (wojciechregula.blog) och Zhongquan Li (@Guluisacat) från Dawn Security Lab of JingDong

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40779: Huang Xilin på Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin på Ant Group Light-Year Security Lab

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2024-40776: Huang Xilin på Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40789: Seunghyun Lee (@0x10n) på KAIST Hacking Lab i samarbete med Trend Micro Zero Day Initiative

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-44185: Gary Kwong

WebKit

Tillgängligt för: Apple TV HD och Apple TV 4K (alla modeller)

Effekt: En användare kanske kan kringgå vissa webbinnehållsbegränsningar

Beskrivning: Ett problem med hanteringen av URL-protokoll löstes med förbättrad logik.

CVE-2024-44206: Andreas Jaegersberger och Ro Achterberg