Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του tvOS 15.5
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του tvOS 15.5.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
tvOS 15.5
AppleAVD
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2022-26702: ένας ανώνυμος ερευνητής, Antonio Zekic (@antoniozekic) και John Aakerblom (@jaakerblom)
AppleAVD
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-22675: ανώνυμος ερευνητής
AuthKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να ενεργοποιήσει τις Φωτογραφίες iCloud χωρίς έλεγχο ταυτότητας
Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2022-26724: Jorge A. Caballero (@DataDrivenMD)
AVEVideoEncoder
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-26736: ανώνυμος ερευνητής
CVE-2022-26737: ανώνυμος ερευνητής
CVE-2022-26738: ανώνυμος ερευνητής
CVE-2022-26739: ανώνυμος ερευνητής
CVE-2022-26740: ανώνυμος ερευνητής
DriverKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2022-26763: Linus Henze της Pinauten GmbH (pinauten.de)
ImageIO
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2022-26711: actae0n της Blacksun Hackers Club σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
IOKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2022-26701: chenyuwang (@mzzzz__) της Tencent Security Xuanwu Lab
IOMobileFrameBuffer
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-26768: ανώνυμος ερευνητής
IOSurfaceAccelerator
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-26771: ανώνυμος ερευνητής
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) της STAR Labs (@starlabs_sg)
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2022-26757: Ned Williamson του Google Project Zero
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2022-26764: Linus Henze της Pinauten GmbH (pinauten.de)
Kernel
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
CVE-2022-26765: Linus Henze της Pinauten GmbH (pinauten.de)
LaunchServices
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα πρόσβασης με πρόσθετους περιορισμούς sandbox σε εφαρμογές τρίτων.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or της Microsoft
libresolv
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2022-26775: Max Shavrick (@_mxms) της ομάδας Google Security
libresolv
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-26708: Max Shavrick (@_mxms) της ομάδας Google Security
libresolv
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-32790: Max Shavrick (@_mxms) της ομάδας Google Security
libresolv
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-26776: Max Shavrick (@_mxms) της ομάδας Google Security, Zubair Ashraf της Crowdstrike
libxml2
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2022-23308
Security
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει επικύρωση υπογραφής
Περιγραφή: Ένα πρόβλημα ανάλυσης πιστοποιητικού αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2022-26766: Linus Henze της Pinauten GmbH (pinauten.de)
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-26700: ryuzaki
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2022-26709: Chijin Zhou της ShuiMuYuLin Ltd και του Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou της ShuiMuYuLin Ltd και του Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin της Theori
WebKit
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2022-26716: SorryMybad (@S0rryMybad) της Kunlun Lab
CVE-2022-26719: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech
Wi-Fi
Διατίθεται για: Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να αποκαλύψει περιορισμένη μνήμη
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2022-26745: Scarlet Raine
Επιπλέον αναγνώριση
AppleMobileFileIntegrity
Θα θέλαμε να ευχαριστήσουμε τον Wojciech Reguła (@_r3ggi) της SecuRing για τη βοήθειά του.
WebKit
Θα θέλαμε να ευχαριστήσουμε τον James Lee και έναν ανώνυμο ερευνητή για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.