Über die Sicherheitsinhalte von tvOS 15.6
In diesem Dokument wird der Sicherheitsinhalt von tvOS 15,6 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
tvOS 15.6
APFS
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.
Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32788: Natalie Silvanovich von Google Project Zero
AppleAVD
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32824: Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.
Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32826: Mickey Jin (@patch1t) von Trend Micro
Audio
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-32820: Ein anonymer Forscher
Audio
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32828: Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)
CoreText
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32819: Joshua Mason von Mandiant
GPU Drivers
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Mehrere Probleme, aufgrund derer Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32793: Ein anonymer Forscher
GPU Drivers
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2022-32849: Joshua Jones
ICU
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) von SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32841: hjy79425575
ImageIO
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32802: Ivan Fratric von Google Project Zero, Mickey Jin (@patch1t)
ImageIO
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32830: Ye Zhang (@co0py_Cat) von Baidu Security
JavaScriptCore
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-48503: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech und ZhaoHai von Cyberpeace Tech Co., Ltd.
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32813: Xinru Chi vom Pangu Lab
CVE-2022-32815: Xinru Chi vom Pangu Lab
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32817: Xinru Chi vom Pangu Lab
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App mit willkürlichen Kernel-Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC of China (nipc.org.cn)
libxml2
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise vertrauliche Benutzerdaten preisgeben.
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32823
Multi-Touch
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Benutzer in einer privilegierten Netzwerkposition können die Aktivitäten von Benutzern nachverfolgen.
Beschreibung: Dieses Problem wurde durch die Verwendung von HTTPS beim Senden von Informationen über das Netzwerk behoben.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) und xmzyshypnc(@xmzyshypnc1)
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.
Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) von SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-32792: Manfred Paul (@_manfp) in Zusammenarbeit mit der Trend Micro Zero Day Initiative
Wi-Fi
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32837: Wang Yu von Cyberserval
Wi-Fi
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Remotebenutzer können einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32847: Wang Yu von Cyberserval
Zusätzliche Danksagung
802.1X
Wir möchten uns bei Shin Sun von der National Taiwan University für die Unterstützung bedanken.
AppleMobileFileIntegrity
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security, Mickey Jin (@patch1t) von Trend Micro und Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.
configd
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security, Mickey Jin (@patch1t) von Trend Micro und Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.