Om sikkerhedsindholdet i tvOS 15.5

I dette dokument beskrives sikkerhedsindholdet i tvOS 15.5.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 15.5

Udgivet 16. maj 2022

AppleAVD

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-26702: En anonym programmør, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)

Post opdateret 7. juni 2023

AppleAVD

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-22675: en anonym programmør

AuthKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En lokal bruger kan muligvis aktivere iCloud-fotos uden godkendelse

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2022-26724: Jorge A. Caballero (@DataDrivenMD)

AVEVideoEncoder

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26736: En anonym programmør

CVE-2022-26737: En anonym programmør

CVE-2022-26738: En anonym programmør

CVE-2022-26739: En anonym programmør

CVE-2022-26740: en anonym programmør

DriverKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)

ImageIO

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2022-26711: actae0n fra Blacksun Hackers Club, der arbejder med Trend Micros Zero Day Initiative

IOKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2022-26701: chenyuwang (@mzzzz__) fra Tencent Security Xuanwu Lab

IOMobileFrameBuffer

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-26768: en anonym programmør

IOSurfaceAccelerator

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-26771: en anonym programmør

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-26757: Ned Williamson fra Google Project Zero

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-26764: Linus Henze fra Pinauten GmbH (pinauten.de)

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2022-26765: Linus Henze fra Pinauten GmbH (pinauten.de)

LaunchServices

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et adgangsproblem blev løst via yderligere sandbox-begrænsninger på tredjepartsapps.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or fra Microsoft

Post opdateret 6. juli 2022

libresolv

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2022-26775: Max Shavrick (@_mxms) fra Googles sikkerhedsteam

Post tilføjet 21. juni 2022

libresolv

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26708: Max Shavrick (@_mxms) fra Googles sikkerhedsteam

Post tilføjet 21. juni 2022

libresolv

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32790: Max Shavrick (@_mxms) fra Googles sikkerhedsteam

Post tilføjet 21. juni 2022

libresolv

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26776: Max Shavrick (@_mxms) fra Googles sikkerhedsteam, Zubair Ashraf fra Crowdstrike

Post tilføjet 21. juni 2022

libxml2

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-23308

Security

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et skadeligt program kan muligvis omgå signaturgodkendelse

Beskrivelse: Et problem med parsing af certifikat er løst ved hjælp af forbedrede kontroller.

CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

WebKit Bugzilla: 238178

CVE-2022-26700: ryuzaki

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 236950

CVE-2022-26709: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab

WebKit Bugzilla: 237475

CVE-2022-26710: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab

WebKit Bugzilla: 238171

CVE-2022-26717: Jeonghoon Shin fra Theori

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

WebKit Bugzilla: 238183

CVE-2022-26716: SorryMybad (@S0rryMybad) fra Kunlun Lab

WebKit Bugzilla: 238699

CVE-2022-26719: Dongzhuo Zhao, der arbejder med ADLab fra Venustech

Wi-Fi

Fås til: Apple TV 4K, Apple TV 4K (2. generation) og Apple TV HD

Effekt: Et skadeligt program kan muligvis afsløre beskyttet hukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-26745: Scarlet Raine

Post opdateret 6. juli 2022

Yderligere anerkendelser

AppleMobileFileIntegrity

Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.

WebKit

Vi vil gerne takke James Lee og en anonym programmør for hjælpen.

Post opdateret 25. maj 2022

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 15. november 2023