Über die Sicherheitsinhalte von tvOS 16
In diesem Dokument werden die Sicherheitsinhalte von tvOS 16 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
tvOS 16
Accelerate Framework
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42795: ryuzaki
AppleAVD
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32907: Natalie Silvanovich von Google Project Zero, Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom), ABC Research Ltd., Yinyi Wu, Tommaso Bianco (@cutesmilee__)
GPU Drivers
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32903: ein anonymer Forscher
ImageIO
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-1622
Image Processing
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.
Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Image Processing
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32949: Tingting Yin von der Tsinghua University
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32864: Linus Henze von der Pinauten GmbH (pinauten.de)
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32866: Linus Henze von der Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig von Kunlun Lab
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32914: Zweig von Kunlun Lab
MediaLibrary
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Nutzer kann die Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-32908: ein anonymer Forscher
Notifications
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann unter Umständen vom Sperrbildschirm aus auf Kontakte zugreifen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32881: Csaba Fitzl (@theevilbit) von Offensive Security
SQLite
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-36690
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32888: P1umer (@p1umer)
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32912: Jeonghoon Shin (@singi21a) bei Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.
Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.
CVE-2022-32891: @real_as3617, ein anonymer Forscher
Wi-Fi
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-46709: Wang Yu von Cyberserval
Wi-Fi
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32925: Wang Yu von Cyberserval
Zusätzliche Danksagung
AppleCredentialManager
Wir möchten uns bei @jonathandata1 für die Unterstützung bedanken.
Identity Services
Wir möchten uns bei Joshua Jones für die Unterstützung bedanken.
Kernel
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Sandbox
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.
UIKit
Wir möchten uns bei Aleczander Ewing für die Unterstützung bedanken.
WebKit
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.