מידע על תוכן האבטחה של tvOS 18
מסמך זה מתאר את תוכן האבטחה של tvOS 18.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בעמוד מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בעמוד אבטחת מוצרי Apple.
tvOS 18
הופץ ב-16 בספטמבר 2024
Game Center
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית גישה לקבצים טופלה באמצעות אימות קלט משופר.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27880: Junsung Lee
ImageIO
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-44176: dw0r מ-ZeroPointer Lab יחד עם Trend Micro Zero Day Initiative, חוקר אנונימי
IOSurfaceAccelerator
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44169: Anton Boegler
Kernel
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול לקבל גישה לא מורשית ל-Bluetooth
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ו-Mathy Vanhoef
LaunchServices
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: ייתכן שיישום זדוני יוכל לשנות יישומים אחרים גם אם אין לו הרשאת ניהול יישומים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)
הרשומה נוספה ב-3 במרץ 2025
libxml2
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2024-44198: OSS-Fuzz, נד וויליאמסון מ-Google Project Zero
mDNSResponder
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.
CVE-2024-44183: Olivier Levon
Model I/O
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.
CVE-2023-5841
SceneKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.
CVE-2024-44144: 냥냥
הרשומה נוספה ב-28 באוקטובר 2024
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: בעיה של ניהול קובצי Cookie טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 287874
CVE-2024-54467: Narendra Bhati, מנהל אבטחת סייבר ב-At Suma Soft Pvt. Ltd, פונה (הודו)
הרשומה נוספה ב-3 במרץ 2025
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 268770
CVE-2024-44192: Tashita Software Security
הרשומה נוספה ב-3 במרץ 2025
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: בעיה של מקורות מרובים הייתה קיימת באלמנטים מסוג 'iframe'. הבעיה טופלה באמצעות מעקב משופר אחרי מקורות אבטחה.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)
Wi-Fi
זמין עבור: Apple TV HD ו-Apple TV 4K (כל הדגמים)
השפעה: תוקף עלול להצליח לגרום למכשיר להתנתק מרשת מאובטחת
תיאור: בעיית תקינות טופלה באמצעות Beacon Protection.
CVE-2024-40856: Preet Dsouza (Fleming College, תוכנית Computer Security & Investigations), Domien Schepers
הרשומה עודכנה ב-3 במרץ 2025
תודות נוספות
dyld
אנחנו מבקשים להודות ל-Pietro Francesco Tirenna, ל-Davide Silvetti, ל-Abdel Adim Oisfi מ-Shielder (shielder.com) על הסיוע.
הרשומה נוספה ב-3 במרץ 2025
Kernel
אנחנו מבקשים להודות ל-Braxton Anderson, ל-Fakhri Zulkifli (@d0lph1n98) מ-PixiePoint Security על הסיוע.
Notifications
אנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal, ל-Dev dutta (manas.dutta.75) ול-Prateek Pawar (vakil sahab) על הסיוע.
הרשומה נוספה ב-3 במרץ 2025
Photos
אנו מבקשים להודות ל-Junior Vergara על הסיוע.
הרשומה נוספה ב-3 במרץ 2025
SharePlay
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב-3 במרץ 2025
WebKit
אנחנו מבקשים להודות לאבי לומלסקי מ-Oligo Security, לאורי כ"ץ מ-Oligo Security, ל-Eli Grey (eligrey.com) ול-Johan Carlsson (joaxcar) על הסיוע.
הרשומה עודכנה ב-28 באוקטובר 2024
Wi-Fi
אנחנו מבקשים להודות ל-Antonio Zekic (@antoniozekic), ל-ant4g0nist ול-Tim Michaud (@TimGMichaud) מ-Moveworks.ai על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.