Über die Sicherheitsinhalte von tvOS 15.6

In diesem Dokument wird der Sicherheitsinhalt von tvOS 15,6 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

tvOS 15.6

Veröffentlicht am 20. Juli 2022

APFS

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32788: Natalie Silvanovich von Google Project Zero

AppleAVD

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32824: Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32826: Mickey Jin (@patch1t) von Trend Micro

Audio

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-32820: Ein anonymer Forscher

Audio

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreMedia

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32828: Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)

CoreText

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32819: Joshua Mason von Mandiant

GPU Drivers

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Mehrere Probleme, aufgrund derer Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32793: Ein anonymer Forscher

GPU Drivers

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-32821: John Aakerblom (@jaakerblom)

iCloud Photo Library

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2022-32849: Joshua Jones

ICU

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) von SSD Secure Disclosure Labs & DNSLab, Korea Univ.

ImageIO

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32841: hjy79425575

ImageIO

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32802: Ivan Fratric von Google Project Zero, Mickey Jin (@patch1t)

ImageIO

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32830: Ye Zhang (@co0py_Cat) von Baidu Security

JavaScriptCore

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

WebKit Bugzilla: 241931

CVE-2022-48503: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech und ZhaoHai von Cyberpeace Tech Co., Ltd.

Eintrag am 21. Juni 2023 hinzugefügt

Kernel

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32813: Xinru Chi vom Pangu Lab

CVE-2022-32815: Xinru Chi vom Pangu Lab

Kernel

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-32817: Xinru Chi vom Pangu Lab

Kernel

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App mit willkürlichen Kernel-Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC of China (nipc.org.cn)

libxml2

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann möglicherweise vertrauliche Benutzerdaten preisgeben.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-32823

Multi-Touch

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Software Update

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Benutzer in einer privilegierten Netzwerkposition können die Aktivitäten von Benutzern nachverfolgen.

Beschreibung: Dieses Problem wurde durch die Verwendung von HTTPS beim Senden von Informationen über das Netzwerk behoben.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) und xmzyshypnc(@xmzyshypnc1)

Eintrag am 8. Juni 2023 hinzugefügt

WebKit

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.

Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.

WebKit Bugzilla: 239316

CVE-2022-32816: Dohyun Lee (@l33d0hyun) von SSD Secure Disclosure Labs & DNSLab, Korea Univ.

WebKit

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

WebKit Bugzilla: 240720

CVE-2022-32792: Manfred Paul (@_manfp) in Zusammenarbeit mit der Trend Micro Zero Day Initiative

Wi-Fi

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32837: Wang Yu von Cyberserval

Wi-Fi

Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD

Auswirkung: Remotebenutzer können einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32847: Wang Yu von Cyberserval

Zusätzliche Danksagung

802.1X

Wir möchten uns bei Shin Sun von der National Taiwan University für die Unterstützung bedanken.

AppleMobileFileIntegrity

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security, Mickey Jin (@patch1t) von Trend Micro und Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.

configd

Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security, Mickey Jin (@patch1t) von Trend Micro und Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: