tvOS 17.6'nın güvenlik içeriği hakkında

Bu belgede tvOS 17.6'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

tvOS 17.6

AppleMobileFileIntegrity

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek kod imzalama sınırlamaları getirilerek bir eski sürüme düşürme sorunu giderildi.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-40799: D4m0n

dyld

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Rastgele kod okuyup ve yazabilen kötü amaçlı bir saldırgan, İmleç Kimlik Doğrulaması'nı atlayabilir

Açıklama: Ek doğrulama ile bir yarış durumu giderildi.

CVE-2024-40815: w0wbox

Family Sharing

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Veri koruması iyileştirilerek bu sorun giderildi.

CVE-2024-40795: Kandji'den Csaba Fitzl (@theevilbit)

ImageIO

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2023-6277

CVE-2023-52356

ImageIO

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-40806: Yisumi

ImageIO

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-40777: Trend Micro Zero Day Initiative ile çalışan Junsung Lee ile CrowdStrike Counter Adversary Operations'dan Amir Bazine ve Karsten König

ImageIO

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2024-40784: Gandalf4a ve Trend Micro Zero Day Initiative ile çalışan Junsung Lee

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel bir saldırgan çekirdek belleği düzenini belirleyebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir bilgi açığa çıkma sorunu giderildi.

CVE-2024-27863: CertiK SkyFall Ekibi

Kernel

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Yerel bir saldırgan, sistemin beklenmedik şekilde kapanmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2024-40788: Zhejiang Üniversitesi'nden Minghao Lin ve Jiaxun Zhu

libxpc

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2024-40805

Sandbox

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40824: SecuRing'den Wojciech Regula (wojciechregula.blog) ve JingDong Dawn Security Lab'den Zhongquan Li (@Guluisacat)

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2024-40776: Ant Group Light-Year Security Lab'den Huang Xilin

CVE-2024-40782: Maksymilian Motyl

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-40779: Ant Group Light-Year Security Lab'den Huang Xilin

CVE-2024-40780: Ant Group Light-Year Security Lab'den Huang Xilin

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

İlgili ürünler: Apple TV HD ve Apple TV 4K (tüm modeller)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-40789: Trend Micro Zero Day Initiative ile çalışan KAIST Hacking Lab'den Seunghyun Lee (@0x10n)