Tietoja tvOS 18:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan tvOS 18:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

tvOS 18

Game Center

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-27880: Junsung Lee

ImageIO

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-44176: dw0r ZeroPointer Labista yhteistyössä Trend Micron Zero Day Initiativen kanssa, nimetön tutkija

IOSurfaceAccelerator

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44169: Antonio Zekić

Kernel

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef

LaunchServices

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallinen appi saattoi pystyä muokkaamaan muita appeja ilman App Managementin suostumusta.

Kuvaus: logiikkaongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

libxml2

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

mDNSResponder

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2024-44183: Olivier Levon

Model I/O

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-5841

SceneKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2024-44144: 냥냥

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: evästeiden hallintaongelma on ratkaistu parantamalla tilan hallintaa.

CVE-2024-54467: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44192: Tashita Software Security

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40857: Ron Masas

WebKit

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.

CVE-2024-44187: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)

Wi-Fi

Saatavuus: Apple TV HD ja Apple TV 4K (kaikki mallit)

Vaikutus: hyökkääjä saattoi pystyä pakottamaan laitteen katkaisemaan yhteyden turvalliseen verkkoon.

Kuvaus: eheysongelma on ratkaistu Beacon Protectionin avulla.

CVE-2024-40856: Preet Dsouza (Fleming College, Computer Security & Investigations Program), Domien Schepers

Kiitokset

dyld

Haluamme kiittää avusta Pietro Francesco Tirennaa, Davide Silvettiä ja Abdel Adim Oisfia (Shielder, shielder.com).

Kernel

Haluamme kiittää avusta Braxton Andersonia ja Fakhri Zulkiflia (@d0lph1n98, PixiePoint Security).

Notifications

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal), Dev Duttaa (manas.dutta.75) ja Prateek Pawaria (vakil sahab).

Photos

Haluamme kiittää avusta Junior Vergaraa.

SharePlay

Haluamme kiittää avusta nimetöntä tutkijaa.

WebKit

Haluamme kiittää avusta Avi Lumelskya (Oligo Security), Uri Katzia (Oligo Security), Eli Greyta (eligrey.com) ja Johan Carlssonia (joaxcar).

Wi-Fi

Haluamme kiittää avusta Antonio Zekiciä (@antoniozekic), nimimerkkiä ant4g0nist ja Tim Michaudia (@TimGMichaud, Moveworks.ai).