Über die Sicherheitsinhalte von tvOS 15.5
Dieses Dokument beschreibt die Sicherheitsinhalte von tvOS 15.5.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
tvOS 15.5
AppleAVD
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26702: ein anonymer Forscher, Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)
AppleAVD
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-22675: Ein anonymer Forscher
AuthKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkungen: Ein lokaler Benutzer kann iCloud Fotos ohne Authentifizierung aktivieren
Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-26724: Jorge A. Caballero (@DataDrivenMD)
AVEVideoEncoder
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-26736: ein anonymer Forscher
CVE-2022-26737: ein anonymer Forscher
CVE-2022-26738: ein anonymer Forscher
CVE-2022-26739: ein anonymer Forscher
CVE-2022-26740: Ein anonymer Forscher
DriverKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-26763: Linus Henze von der Pinauten GmbH (pinauten.de)
ImageIO
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26711: actae0n vom Blacksun Hackers Club in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
IOKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
CVE-2022-26701: chenyuwang (@mzzzz__) von Tencent Security Xuanwu Lab
IOMobileFrameBuffer
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-26768: Ein anonymer Forscher
IOSurfaceAccelerator
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-26771: Ein anonymer Forscher
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) von STAR Labs (@starlabs_sg)
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26757: Ned Williamson von Google Project Zero
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Angreifer, der bereits Codes im Kernel ausführen kann, kann Schutzmaßnahmen für den Kernel-Speicher umgehen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-26764: Linus Henze von der Pinauten GmbH (pinauten.de)
Kernel
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Angreifer mit willkürlichen Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2022-26765: Linus Henze von der Pinauten GmbH (pinauten.de)
LaunchServices
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.
Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Einschränkungen für Anwendungen von Drittanbietern behoben.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or von Microsoft
libresolv
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von willkürlichem Code verursachen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-26775: Max Shavrick (@_mxms) vom Google Security Team
libresolv
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26708: Max Shavrick (@_mxms) vom Google Security Team
libresolv
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32790: Max Shavrick (@_mxms) vom Google Security Team
libresolv
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-26776: Max Shavrick (@_mxms) vom Google Security Team, Zubair Ashraf von Crowdstrike
libxml2
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-23308
Security
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Eine in böswilliger Absicht erstellte App kann möglicherweise die Überprüfung der Signatur umgehen.
Beschreibung: Ein Problem beim Analysieren von Zertifikaten wurde durch verbesserte Prüfungen behoben.
CVE-2022-26766: Linus Henze von der Pinauten GmbH (pinauten.de)
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-26700: ryuzaki
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-26709: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin von Theori
WebKit
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-26716: SorryMybad (@S0rryMybad) von Kunlun Lab
CVE-2022-26719: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech
Wi-Fi
Verfügbar für: Apple TV 4K, Apple TV 4K (2. Generation) und Apple TV HD
Auswirkung: Ein Schadprogramm kann möglicherweise eingeschränkten Speicher offenlegen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-26745: Scarlet Raine
Zusätzliche Danksagung
AppleMobileFileIntegrity
Wir möchten uns bei Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.
WebKit
Wir möchten uns bei James Lee und einem anonymen Forscher für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.