Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 15.5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 15.5.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

tvOS 15.5

Κυκλοφόρησε στις 16 Μαΐου 2022

AppleAVD

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2022-26702: ένας ανώνυμος ερευνητής, Antonio Zekic (@antoniozekic) και John Aakerblom (@jaakerblom)

Η καταχώριση ενημερώθηκε στις 7 Ιουνίου 2023

AppleAVD

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-22675: ανώνυμος ερευνητής

AuthKit

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να ενεργοποιήσει τις Φωτογραφίες iCloud χωρίς έλεγχο ταυτότητας

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2022-26724: Jorge A. Caballero (@DataDrivenMD)

AVEVideoEncoder

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-26736: ανώνυμος ερευνητής

CVE-2022-26737: ανώνυμος ερευνητής

CVE-2022-26738: ανώνυμος ερευνητής

CVE-2022-26739: ανώνυμος ερευνητής

CVE-2022-26740: ανώνυμος ερευνητής

DriverKit

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-26763: Linus Henze της Pinauten GmbH (pinauten.de)

ImageIO

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2022-26711: actae0n της Blacksun Hackers Club σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOKit

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2022-26701: chenyuwang (@mzzzz__) της Tencent Security Xuanwu Lab

IOMobileFrameBuffer

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-26768: ανώνυμος ερευνητής

IOSurfaceAccelerator

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-26771: ανώνυμος ερευνητής

Kernel

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) της STAR Labs (@starlabs_sg)

Kernel

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2022-26757: Ned Williamson του Google Project Zero

Kernel

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-26764: Linus Henze της Pinauten GmbH (pinauten.de)

Kernel

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2022-26765: Linus Henze της Pinauten GmbH (pinauten.de)

LaunchServices

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα πρόσβασης με πρόσθετους περιορισμούς sandbox σε εφαρμογές τρίτων.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or της Microsoft

Η καταχώριση ενημερώθηκε στις 6 Ιουλίου 2022

libresolv

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2022-26775: Max Shavrick (@_mxms) της ομάδας Google Security

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022

libresolv

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-26708: Max Shavrick (@_mxms) της ομάδας Google Security

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022

libresolv

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-32790: Max Shavrick (@_mxms) της ομάδας Google Security

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022

libresolv

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-26776: Max Shavrick (@_mxms) της ομάδας Google Security, Zubair Ashraf της Crowdstrike

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022

libxml2

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2022-23308

Security

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει επικύρωση υπογραφής

Περιγραφή: Ένα πρόβλημα ανάλυσης πιστοποιητικού αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-26766: Linus Henze της Pinauten GmbH (pinauten.de)

WebKit

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 238178

CVE-2022-26700: ryuzaki

WebKit

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

WebKit Bugzilla: 236950

CVE-2022-26709: Chijin Zhou της ShuiMuYuLin Ltd και του Tsinghua wingtecher lab

WebKit Bugzilla: 237475

CVE-2022-26710: Chijin Zhou της ShuiMuYuLin Ltd και του Tsinghua wingtecher lab

WebKit Bugzilla: 238171

CVE-2022-26717: Jeonghoon Shin της Theori

WebKit

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 238183

CVE-2022-26716: SorryMybad (@S0rryMybad) της Kunlun Lab

WebKit Bugzilla: 238699

CVE-2022-26719: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech

Wi-Fi

Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-26745: Scarlet Raine

Η καταχώριση ενημερώθηκε στις 6 Ιουλίου 2022

Επιπλέον αναγνώριση

AppleMobileFileIntegrity

Θα θέλαμε να ευχαριστήσουμε τον Wojciech Reguła (@_r3ggi) της SecuRing για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον James Lee και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: