เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 17.6

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 17.6

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการเผยแพร่เกี่ยวกับความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 17.6

เผยแพร่เมื่อวันที่ 29 กรกฎาคม 2024

AppleMobileFileIntegrity

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาการดาวน์เกรดได้รับการแก้ไขแล้วด้วยข้อจำกัดการลงนามโค้ดเพิ่มเติม

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-40799: D4m0n

dyld

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายที่มีความสามารถในการอ่านและการเขียนข้อมูลโดยอำเภอใจอาจสามารถบายพาสการตรวจสอบตัวชี้ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2024-40815: w0wbox

การแชร์กันในครอบครัว

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2024-40795: Csaba Fitzl (@theevilbit) จาก Kandji

ImageIO

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลภาพอาจส่งผลให้เกิดปัญหาการปฏิเสธการให้บริการ

คำอธิบาย: นี่เป็นช่องโหว่ในโค้ดโอเพ่นซอร์สและซอฟต์แวร์ Apple ก็เป็นหนึ่งในโปรเจ็กต์ที่ได้รับผลกระทบ CVE-ID ได้รับการระบุโดยบุคคลภายนอก เรียนรู้เพิ่มเติมเกี่ยวกับปัญหาและ CVE-ID ได้ที่ cve.org

CVE-2023-6277

CVE-2023-52356

ImageIO

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

CVE-2024-40806: Yisumi

ImageIO

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

คำอธิบาย: ปัญหาด้านการเข้าถึงนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2024-40777: Junsung Lee ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ Amir Bazine และ Karsten König จาก CrowdStrike Counter Adversary Operations

ImageIO

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

คำอธิบาย: ปัญหาจำนวนเต็มเกินได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2024-40784: Junsung Lee ซึ่งทำงานร่วมกับ Trend Micro Zero Day Initiative และ Gandalf4a

Kernel

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้โจมตีเฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกปิดข้อมูลส่วนตัวสำหรับรายการล็อกให้ดียิ่งขึ้น

CVE-2024-27863: CertiK SkyFall Team

Kernel

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้โจมตีในระบบอาจทำให้ระบบปิดลงโดยไม่คาดคิด

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2024-40788: Minghao Lin และ Jiaxun Zhu from Zhejiang University

libxpc

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหาสิทธิ์อนุญาตได้รับการแก้ไขแล้วด้วยการเพิ่มข้อจำกัด

CVE-2024-40805

Sandbox

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: แอปอาจเลี่ยงการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2024-40824: Wojciech Regula จาก SecuRing (wojciechregula.blog) และ Zhongquan Li (@Guluisacat) จาก Dawn Security Lab of JingDong

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้โปรเซสล่มโดยไม่คาดคิด

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

WebKit Bugzilla: 275431

CVE-2024-40779: Huang Xilin จาก Ant Group Light-Year Security Lab

WebKit Bugzilla: 275273

CVE-2024-40780: Huang Xilin จาก Ant Group Light-Year Security Lab

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 273176

CVE-2024-40776: Huang Xilin จาก Ant Group Light-Year Security Lab

WebKit Bugzilla: 268770

CVE-2024-40782: Maksymilian Motyl

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

CVE-2024-40789: Seunghyun Lee (@0x10n) จาก KAIST Hacking Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

WebKit Bugzilla: 276097

CVE-2024-44185: Gary Kwong

เพิ่มรายการเมื่อ 15 ตุลาคม 2024

WebKit

มีให้สำหรับ: Apple TV HD และ Apple TV 4K (ทุกรุ่น)

ผลกระทบ: ผู้ใช้อาจสามารถบายพาสข้อจำกัดบางอย่างของคอนเทนต์บนเว็บได้

คำอธิบาย: ปัญหาในการจัดการโปรโตคอลของ URL ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

WebKit Bugzilla: 280765

CVE-2024-44206: Andreas Jaegersberger และ Ro Achterberg

เพิ่มรายการเมื่อ 15 ตุลาคม 2024

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 22 ตุลาคม 2567