Om sikkerhedsindholdet i tvOS 16.1
I dette dokument beskrives sikkerhedsindholdet i tvOS 16.1.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
tvOS 16.1
AppleMobileFileIntegrity
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet blev løst, ved at ekstra rettigheder blev fjernet.
CVE-2022-42825: Mickey Jin (@patch1t)
Audio
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: Parsing af et skadeligt lydarkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-42798: Anonym, der arbejder med Trend Micros Zero Day Initiative
AVEVideoEncoder
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.
CVE-2022-32940: ABC Research s.r.o.
CFNetwork
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var problemer med certifikatgodkendelse i forbindelse med håndtering af WKWebView. Dette problem blev rettet gennem forbedret validering.
CVE-2022-42813: Jonathan Zhang fra Open Computing Facility (ocf.berkeley.edu)
Kernel
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app kan muligvis udløse pludselig programlukning eller potentielt køre kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-46712: Tommy Muir (@Muirey03)
Kernel
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32924: Ian Beer fra Google Project Zero
Kernel
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En fjernbruger kan få adgang til at køre kernekode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-42808: Zweig fra Kunlun Lab
Kernel
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-32944: Tim Michaud (@TimGMichaud) fra Moveworks.ai
Kernel
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.
CVE-2022-42803: Xinru Chi fra Pangu Lab, John Aakerblom (@jaakerblom)
Kernel
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.
CVE-2022-32926: Tim Michaud (@TimGMichaud) fra Moveworks.ai
Kernel
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et logikproblem er løst ved forbedret kontrol.
CVE-2022-42801: Ian Beer fra Google Project Zero
Model I/O
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: Behandling af et skadeligt USD-arkiv kan medføre afsløring af hukommelsesindhold
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) og Yinyi Wu fra Ant Security Light-Year Lab
Sandbox
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.
CVE-2022-42811: Justin Bui (@slyd0g) fra Snowflake
WebKit
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.
CVE-2022-42823: Dohyun Lee (@l33d0hyun) fra SSD Labs
WebKit
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: Behandling af skadeligt webindhold kan medføre afsløring af følsomme brugeroplysninger
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-42824: Abdulrahman Alqabandi fra Microsoft Browser Vulnerability Research, Ryan Shin fra IAAI SecLab ved Korea University, Dohyun Lee (@l33d0hyun) fra DNSLab ved Korea University
WebKit
Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD
Effekt: Behandling af skadeligt webindhold kan forårsage videregivelse af de interne tilstande for appen
Beskrivelse: Et problem med nøjagtigheden i JIT blev løst med forbedrede kontroller.
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) fra KAIST Hacking Lab
Yderligere anerkendelser
iCloud
Vi vil gerne takke Tim Michaud (@TimGMichaud) fra Moveworks.ai for hans hjælp.
Kernel
Vi vil gerne takke Peter Nguyen fra STAR Labs, Tim Michaud (@TimGMichaud) fra Moveworks.ai, Tommy Muir (@Muirey03) for deres hjælp.
WebKit
Vi vil gerne takke Maddie Stone fra Google Project Zero, Narendra Bhati (@imnarendrabhati) fra Suma Soft Pvt. Ltd. og en anonym programmør for deres hjælp.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.