Om sikkerhedsindholdet i tvOS 16.2

I dette dokument beskrives sikkerhedsindholdet i tvOS 16.2.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De seneste udgivelser er angivet på siden Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser til sikkerhedsrisici med et CVE-id, når det er muligt.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

tvOS 16.2

Accounts

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En bruger kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2022-42843: Mickey Jin (@patch1t)

AppleAVD

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Parsing af et skadeligt videoarkiv kan medføre kørsel af systemkode

Beskrivelse: Et out-of-bounds-skriveproblem er løst ved forbedret inputvalidering.

CVE-2022-46694: Andrey Labunets og Nikita Tarakanov

AppleMobileFileIntegrity

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Dette problem blev løst ved at aktivere hardened runtime.

CVE-2022-42865: Wojciech Reguła (@_r3ggi) fra SecuRing

AVEVideoEncoder

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2022-42848: ABC Research s.r.o

ImageIO

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem er løst ved forbedret inputvalidering.

CVE-2022-46693: Mickey Jin (@patch1t)

ImageIO

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Parsing af et skadeligt TIFF-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-42851: Mickey Jin (@patch1t)

IOHIDFamily

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2022-46690: John Aakerblom (@jaakerblom)

iTunes Store

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En ekstern bruger kan muligvis forårsage uventet applukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med parsing af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2022-42837: Weijia Dai (@dwj1210) fra Momo Security

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2022-46689: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Oprettelse af forbindelse til en skadelig NFS-server kan medføre vilkårlig kørsel af kode med systemrettigheder

Beskrivelse: Problemet er løst ved forbedrede kontroller af grænser.

CVE-2022-46701: Felix Poulin-Belanger

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En fjernbruger kan få adgang til at køre kernekode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-42842: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-42845: Adam Doupé fra ASU SEFCOM

Kernel

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En hacker med mulighed for at læse fra og skrive til hukommelsen kan muligvis omgå markørgodkendelse. Apple er opmærksom på, at dette problem kan være blevet udnyttet i tidligere versioner af iOS fra før iOS 15.7.1.

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2022-48618: Apple

libxml2

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En ekstern bruger kan muligvis forårsage uventet applukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2022-40303: Maddie Stone fra Google Project Zero

libxml2

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En ekstern bruger kan muligvis forårsage uventet applukning eller kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-40304: Ned Williamson og Nathan Wachholz fra Google Project Zero

Preferences

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En app kan muligvis bruge vilkårlige rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-42855: Ivan Fratric fra Google Project Zero

Safari

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre manipulering med brugergrænsefladen

Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

Software Update

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En bruger kan muligvis opnå flere rettigheder

Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet blev løst ved hjælp af yderligere begrænsninger.

CVE-2022-42849: Mickey Jin (@patch1t)

Weather

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2022-42866: En anonym programmør

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2022-46705: Hyeon Park (@tree_segment) fra Team ApplePIE

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af skadeligt webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-42867: Maddie Stone fra Google Project Zero

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af skadeligt webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.

CVE-2022-46691: En anonym programmør

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af skadeligt webindhold kan medføre tilsidesættelse af politikken om samme oprindelse

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-42852: hazbinhotel, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af skadeligt webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret inputvalidering.

CVE-2022-46696: Samuel Groß fra Google V8 Security

CVE-2022-46700: Samuel Groß fra Google V8 Security

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af skadeligt webindhold kan medføre afsløring af følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2022-46698: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs & DNSLab, Korea Univ.

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af skadeligt webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-46699: Samuel Groß fra Google V8 Security

CVE-2022-42863: En anonym programmør

WebKit

Fås til: Apple TV 4K, Apple TV 4K (2. generation og nyere) og Apple TV HD

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 15.1.

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2022-42856: Clément Lecigne fra Googles Threat Analysis Group

Yderligere anerkendelser

Kernel

Vi vil gerne takke Zweig fra Kunlun Lab for hjælpen.

Safari Extensions

Vi vil gerne takke Oliver Dunk og Christian R. fra 1Password for hjælpen.

WebKit

Vi vil gerne takke en anonym programmør og scarlet for hjælpen.