Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
tvOS 16.2
Κυκλοφόρησε στις 13 Δεκεμβρίου 2022
Accounts
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να προβάλει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη προστασία δεδομένων.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου βίντεο ενδέχεται να οδηγήσει σε εκτέλεση κώδικα πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-46694: Andrey Labunets και Nikita Tarakanov
AppleMobileFileIntegrity
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με ενεργοποίηση της ενίσχυσης του χρόνου εκτέλεσης.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) της SecuRing
AVEVideoEncoder
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-42848: ABC Research s.r.o
ImageIO
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου TIFF ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα στην ανάλυση διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-42837: Weijia Dai (@dwj1210) της Momo Security
Η καταχώριση προστέθηκε στις 7 Ιουνίου 2023
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.
CVE-2022-46689: Ian Beer του Google Project Zero
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η σύνδεση σε έναν κακόβουλο διακομιστή NFS ενδέχεται να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα με δικαιώματα πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει εκτέλεση κώδικα πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-42842: pattern-f (@pattern_F_) της Ant Security Light-Year Lab
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-42845: Adam Doupé της ASU SEFCOM
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής ενδέχεται να μπορεί να παρακάμψει τον έλεγχο ταυτότητας δείκτη. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS που κυκλοφόρησαν πριν από την έκδοση iOS 15.7.1.
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-48618: Apple
Η καταχώριση προστέθηκε στις 9 Ιανουαρίου 2024
libxml2
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2022-40303: Maddie Stone του Google Project Zero
libxml2
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει μη αναμενόμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-40304: Ned Williamson και Nathan Wachholz του Google Project Zero
Preferences
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να χρησιμοποιεί αυθαίρετα δικαιώματα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-42855: Ivan Fratric του Google Project Zero
Safari
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο περιεχόμενο ενδέχεται να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη
Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης στον χειρισμό των διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης με προνομιακές κλήσεις API. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2022-42866: ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης στον χειρισμό των διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-46705: Hyeon Park (@tree_segment) της Team ApplePIE
Η καταχώριση προστέθηκε στις 7 Ιουνίου 2023
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone του Google Project Zero
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
WebKit Bugzilla: 245466
CVE-2022-46691: ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να παρακάμψει την Πολιτική ίδιας προέλευσης
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδέχεται να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-42852: hazbinhotel σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß της Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß της Google V8 Security
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποκαλύψει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) του SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß της Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς και νεότερα μοντέλα) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS που κυκλοφόρησαν πριν από το iOS 15.1.
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne της Threat Analysis Group της Google
Επιπλέον αναγνώριση
Kernel
Θα θέλαμε να ευχαριστήσουμε τον Zweig του Kunlun Lab για τη βοήθειά του.
Safari Extensions
Θα θέλαμε να ευχαριστήσουμε τον Oliver Dunk και τον Christian R. της 1Password για τη βοήθειά τους.
WebKit
Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή και τον ερευνητή με το ψευδώνυμο scarlet για τη βοήθειά τους.