Acerca del contenido de seguridad de tvOS 15.4

Este documento describe el contenido de seguridad de tvOS 15,4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

tvOS 15.4

Publicado el 14 de marzo de 2022

Accelerate Framework

Disponible para: Apple TV 4K y Apple TV HD

Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2022-22633: ryuzaki

Entrada añadida el 25 de mayo de 2022

Accelerate Framework

Disponible para: Apple TV 4K y Apple TV HD

Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2022-22633: ryuzaki

Entrada añadida el 25 de mayo de 2022

AppleAVD

Disponible para: Apple TV 4K y Apple TV HD

Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.

AVEVideoEncoder

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2022-22634: investigador anónimo

AVEVideoEncoder

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2022-22635: investigador anónimo

AVEVideoEncoder

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2022-22636: investigador anónimo

ImageIO

Disponible para: Apple TV 4K y Apple TV HD

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2022-22611: Xingyu Jin, de Google

ImageIO

Disponible para: Apple TV 4K y Apple TV HD

Impacto: procesar una imagen creada con fines maliciosos puede provocar daños en la memoria heap.

Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.

CVE-2022-22612: Xingyu Jin, de Google

IOGPUFamily

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2022-22641: Mohamed Ghannam (@_simo36)

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.

CVE-2022-22613: Alex, investigador anónimo

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2022-22614: investigador anónimo

CVE-2022-22615: investigador anónimo

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación maliciosa podría elevar los privilegios.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

CVE-2022-22632: Keegan Saunders

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: un atacante en una posición privilegiada podría realizar un ataque de denegación de servicio.

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2022-22638: derrek (@derrekr6)

Kernel

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2022-22640: sqrtpwn

LLVM

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación podría eliminar archivos para los que no tiene permiso.

Descripción: se ha solucionado una condición de carrera mediante una validación adicional.

CVE-2022-21658: Florian Weimer (@fweimer)

Entrada añadida el 25 de mayo de 2022

MediaRemote

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación creada con fines malintencionados podría identificar las aplicaciones que ha instalado un usuario.

Descripción: se ha solucionado un problema de acceso mejorando las restricciones de acceso.

CVE-2022-22670: Brandon Azad

Preferences

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación maliciosa podría leer los ajustes de otras aplicaciones.

Descripción: se ha solucionado el problema con comprobaciones de permisos adicionales.

CVE-2022-22609: Mickey Jin (@patch1t), y Zhipeng Huo (@R3dF09) y Yuebin Sun (@yuebinsun2020) de Tencent Security Xuanwu Lab (xlab.tencent.com)

Entrada actualizada el 7 de junio de 2023

Sandbox

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una aplicación maliciosa podría evitar ciertas preferencias de privacidad.

Descripción: se ha solucionado el problema mejorando la lógica de los permisos.

CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) de Primefort Private Limited, Khiem Tran

Entrada actualizada el 25 de mayo de 2022

UIKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: una persona con acceso físico a un dispositivo iOS podría ver información sensible a través de las sugerencias del teclado.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2022-22621: Joey Hewitt

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría revelar información confidencial del usuario

Descripción: se ha solucionado un problema de gestión de cookies mejorando la gestión del estado.

WebKit Bugzilla: 232748

CVE-2022-22662: Prakash (@1lastBr3ath) de Threat Nix

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: procesar contenido web creado con fines malintencionados podría provocar la ejecución de código.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

WebKit Bugzilla: 232812

CVE-2022-22610: Quan Yin, del equipo de atención al cliente de Bigo Live (Bigo Technology)

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

WebKit Bugzilla: 233172

CVE-2022-22624: Kirin (@Pwnrin), de Tencent Security Xuanwu Lab

WebKit Bugzilla: 234147

CVE-2022-22628: Kirin (@Pwnrin), de Tencent Security Xuanwu Lab

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

WebKit Bugzilla: 234966

CVE-2022-22629: Jeonghoon Shin en Theori trabajando con Trend Micro Zero Day Initiative

WebKit

Disponible para: Apple TV 4K y Apple TV HD

Impacto: es posible que un sitio web malicioso provoque un comportamiento en orígenes cruzados inesperado.

Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.

WebKit Bugzilla: 235294

CVE-2022-22637: Tom McKee de Google

Otros agradecimientos

Bluetooth

Queremos dar las gracias a un investigador anónimo por su ayuda.

Siri

Queremos dar las gracias a un investigador anónimo por su ayuda

syslog

Queremos dar las gracias por su ayuda a Yonghwi Jin (@jinmo123) de Theori.

UIKit

Queremos dar las gracias a Tim Shadel, de Day Logger, Inc., por su ayuda.

WebKit

Queremos dar las gracias por su ayuda a Abdullah Md Shaleh.

WebKit Storage

Queremos dar las gracias por su ayuda a Martin Bajanik de FingerprintJS.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: 02 de noviembre de 2023