Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 17.5
Objavljeno 13. svibnja 2024.
AppleAVD
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Unos je ažuriran 15. svibnja 2024.
AppleMobileFileIntegrity
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen boljom provjerom varijabli u okruženju.
CVE-2024-27805: Kirin (@Pwnrin) i 小来来 (@Smi1eSEC)
Unos je dodan 10. lipnja 2024.
CoreMedia
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Unos je dodan 10. lipnja 2024.
CoreMedia
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27831: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)
Unos je dodan 10. lipnja 2024.
Disk Images
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27832: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Foundation
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27801: CertiK SkyFall Team
Unos je dodan 10. lipnja 2024.
IOSurface
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zaštite kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27840: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27815: anonimni istraživač i Joseph Ravichandran (@0xjprx) (MIT CSAIL)
Unos je dodan 10. lipnja 2024.
libiconv
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27811: Nick Wellnhofer
Unos je dodan 10. lipnja 2024.
Maps
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-27810: LFY@secsys (Sveučilište Fudan)
Messages
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-27800: Daniel Zajork i Joshua Zajork
Unos je dodan 10. lipnja 2024.
Metal
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
Metal
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: udaljeni napadači mogo bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-27857: Michael DePlante (@izobashi), inicijativa Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
RemoteViewServices
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
Spotlight
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2024-27806
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen dodavanje dodatne logike.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard (CISPA Helmholtz Center for Information Security)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day Initiative (Trend Micro)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
Unos je dodan 10. lipnja 2024.
WebKit Canvas
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) (Crawless) i @abrahamjuliot
Unos je dodan 10. lipnja 2024.
WebKit Web Inspector
Dostupno za: Apple TV HD i Apple TV 4K (svi modeli)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Unos je dodan 10. lipnja 2024.
Dodatna zahvala
App Store
Na pomoći zahvaljujemo anonimnom istraživaču.
AppleMobileFileIntegrity
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.
CoreHAP
Željeli bismo zahvaliti Adrianu Cableu na pomoći.
Disk Images
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.
ImageIO
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos je dodan 10. lipnja 2024.
Managed Configuration
Željeli bismo zahvaliti 遥遥领先 (@晴天组织) na pomoći.
Transparency
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.