Despre conținutul de securitate din tvOS 17.6
Acest document descrie conținutul de securitate din tvOS 17.6.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
tvOS 17.6
Publicat pe 29 iulie 2024
AppleMobileFileIntegrity
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40799: D4m0n
dyld
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator cu rea intenție, cu capacitate arbitrară de citire și scriere, poate reuși să evite autentificarea pointerilor
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2024-40815: w0wbox
Family Sharing
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2024-40795: Csaba Fitzl (@theevilbit) din cadrul Kandji
ImageIO
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40806: Yisumi
ImageIO
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-40777: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative, și Amir Bazine și Karsten König din cadrul CrowdStrike Counter Adversary Operations
ImageIO
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2024-40784: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative și Gandalf4a
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator local ar putea să determine aspectul memoriei kernel
Descriere: a fost remediată o problemă de divulgare de informații prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2024-40788: Minghao Lin și Jiaxun Zhu din cadrul Universității Zhejiang
libxpc
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2024-40805
Sandbox
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2024-40824: Wojciech Regula din cadrul SecuRing (wojciechregula.blog) și Zhongquan Li (@Guluisacat) din cadrul Dawn Security Lab din JingDong
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Disponibilitate pentru: Apple TV HD și Apple TV 4K (toate modelele)
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-40789: Seunghyun Lee (@0x10n) din cadrul KAIST Hacking Lab, în colaborare cu Trend Micro Zero Day Initiative
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.