Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
tvOS 16.2
Veröffentlicht am 13. Dezember 2022
Accounts
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Ein Benutzer kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Analyse einer in böser Absicht erstellten Videodatei kann zur Ausführung von Kernel-Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46694: Andrey Labunets und Nikita Tarakanov
AppleMobileFileIntegrity
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch die Aktivierung der gehärteten Laufzeit behoben.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) von SecuRing
AVEVideoEncoder
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2022-42848: ABC Research s.r.o
ImageIO
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Analyse einer in böswilliger Absicht erstellten TIFF-Datei kann zur Preisgabe von Benutzerinformationen führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Es bestand ein Problem bei der Analyse von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-42837: Weijia Dai (@dwj1210) von Momo Security
Eintrag am 7. Juni 2023 hinzugefügt
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Eine Race-Bedingung wurde mit einer zusätzlichen Überprüfung behoben.
CVE-2022-46689: Ian Beer von Google Project Zero
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Das Herstellen einer Verbindung zu einem schadhaften NFS-Server kann zur Ausführung willkürlichen Codes mit Kernel-Rechten führen.
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42842: pattern-f (@pattern_F_) von Ant Security Light-Year Lab
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42845: Adam Doupé von ASU SEFCOM
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Ein Angreifer mit willkürlichen Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-48618: Apple
Eintrag am 9. Januar 2024 hinzugefügt
libxml2
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-40303: Maddie Stone von Google Project Zero
libxml2
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-40304: Ned Williamson und Nathan Wachholz von Google Project Zero
Preferences
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürliche Berechtigungen nutzen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-42855: Ivan Fratric von Google Project Zero
Safari
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.
Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Ein Nutzer kann die Rechte erhöhen.
Beschreibung: Es bestand ein Zugriffsproblem mit privilegierten API-Aufrufen. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2022-42866: ein anonymer Forscher
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.
Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-46705: Hyeon Park (@tree_segment) von Team ApplePIE
Eintrag am 7. Juni 2023 hinzugefügt
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone von Google Project Zero
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 245466
CVE-2022-46691: ein anonymer Forscher
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann die Same Origin Policy umgangen werden.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42852: hazbinhotel in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß von Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß von Google V8 Security
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können vertrauliche Nutzerdaten offengelegt werden.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) von SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß von Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: ein anonymer Forscher
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation und neuer) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv für iOS-Versionen ausgenutzt wurde, die vor iOS 15.1 veröffentlicht wurden.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne von der Threat Analysis Group von Google
Zusätzliche Danksagung
Kernel
Wir möchten uns bei Zweig von Kunlun Lab für die Unterstützung bedanken.
Safari Extensions
Wir möchten uns bei Oliver Dunk und Christian R. von 1Password für die Unterstützung bedanken.
WebKit
Wir möchten uns bei einem anonymen Forscher und scarlet für die Unterstützung bedanken.