Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 15.6
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 15.6.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
tvOS 15.6
APFS
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει εκτέλεση κώδικα πυρήνα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-32788: Natalie Silvanovich του Google Project Zero
AppleAVD
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-32824: Antonio Zekic (@antoniozekic) και John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2022-32826: Mickey Jin (@patch1t) της Trend Micro
Audio
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-32820: ανώνυμος ερευνητής
Audio
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-32828: Antonio Zekic (@antoniozekic) και John Aakerblom (@jaakerblom)
CoreText
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-32819: Joshua Mason της Mandiant
GPU Drivers
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Πολλά προβλήματα εγγραφής εκτός ορίων αντιμετωπίστηκαν με βελτιωμένο έλεγχο ορίων.
CVE-2022-32793: ανώνυμος ερευνητής
GPU Drivers
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2022-32849: Joshua Jones
ICU
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) του SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-32841: hjy79425575
ImageIO
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-32802: Ivan Fratric του Google Project Zero, Mickey Jin (@patch1t)
ImageIO
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-32830: Ye Zhang (@co0py_Cat) της Baidu Security
JavaScriptCore
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.
CVE-2022-48503: Dongzhuo Zhao σε συνεργασία με το ADLab του Venustech και ZhaoHai της Cyberpeace Tech Co., Ltd.
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-32813: Xinru Chi του Pangu Lab
CVE-2022-32815: Xinru Chi του Pangu Lab
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-32817: Xinru Chi του Pangu Lab
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τον έλεγχο ταυτότητας δείκτη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC of China (nipc.org.cn)
libxml2
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2022-32823
Multi-Touch
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας χρήστης με προνομιακή θέση στο δίκτυο μπορεί να παρακολουθεί τη δραστηριότητα κάποιου χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη χρήση HTTPS κατά την αποστολή πληροφοριών μέσω του δικτύου.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) και xmzyshypnc(@xmzyshypnc1)
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επίσκεψη σε έναν ιστότοπο με κακόβουλο περιεχόμενο ενδέχεται να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) του SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2022-32792: Manfred Paul (@_manfp) σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
Wi-Fi
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-32837: Wang Yu της Cyberserval
Wi-Fi
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-32847: Wang Yu της Cyberserval
Επιπλέον αναγνώριση
802.1X
Θα θέλαμε να ευχαριστήσουμε τον Shin Sun του National Taiwan University για τη βοήθειά του.
AppleMobileFileIntegrity
Θα θέλαμε να ευχαριστήσουμε τους Csaba Fitzl (@theevilbit) της Offensive Security, Mickey Jin (@patch1t) της Trend Micro και Wojciech Reguła (@_r3ggi) της SecuRing για τη βοήθειά τους.
configd
Θα θέλαμε να ευχαριστήσουμε τους Csaba Fitzl (@theevilbit) της Offensive Security, Mickey Jin (@patch1t) της Trend Micro και Wojciech Reguła (@_r3ggi) της SecuRing για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.