Acerca del contenido de seguridad de tvOS 15.6
En este documento, se describe el contenido de seguridad de tvOS 15.6.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.
tvOS 15.6
APFS
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app con privilegios de usuario raíz pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Este problema se solucionó mejorando el manejo de la memoria.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que un usuario remoto pueda ocasionar la ejecución del código del kernel
Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.
CVE-2022-32788: Natalie Silvanovich de Google Project Zero
AppleAVD
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32824: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda obtener privilegios de usuario raíz
Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.
CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro
Audio
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2022-32820: Un investigador anónimo
Audio
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.
CVE-2022-32828: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)
CoreText
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda obtener privilegios de usuario raíz
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2022-32819: Joshua Mason de Mandiant
GPU Drivers
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Se mejoró la comprobación de límites para solucionar varios problemas de escritura fuera de los límites.
CVE-2022-32793: Un investigador anónimo
GPU Drivers
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda acceder a información confidencial del usuario
Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.
CVE-2022-32849: Joshua Jones
ICU
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea
ImageIO
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda provocar la divulgación de la memoria de un proceso
Descripción: Este problema se solucionó mejorando el manejo de la memoria.
CVE-2022-32841: hjy79425575
ImageIO
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.
CVE-2022-32802: Ivan Fratric de Google Project Zero, Mickey Jin (@patch1t)
ImageIO
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados ocasione que se divulgue información del usuario
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2022-32830: Ye Zhang (@co0py_Cat) de Baidu Security
JavaScriptCore
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.
CVE-2022-48503: Dongzhuo Zhao junto con ADLab de Venustech y ZhaoHai de Cyberpeace Tech Co., Ltd.
Kernel
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app con privilegios de usuario raíz pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Este problema se solucionó mejorando el manejo de la memoria.
CVE-2022-32813: Xinru Chi de Pangu Lab
CVE-2022-32815: Xinru Chi de Pangu Lab
Kernel
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda divulgar la memoria del kernel
Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.
CVE-2022-32817: Xinru Chi de Pangu Lab
Kernel
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app con una función de lectura y escritura arbitraria del kernel pueda omitir la autenticación del puntero
Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC de China (nipc.org.cn)
libxml2
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda divulgar información confidencial del usuario
Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.
CVE-2022-32823
Multi-Touch
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se mejoraron las comprobaciones para solucionar un problema de tipo confusión.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que un usuario con una posición de red privilegiada pueda dar seguimiento a la actividad de un usuario
Descripción: Este problema se solucionó usando HTTPS al enviar información a través de la red.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario
Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) y xmzyshypnc(@xmzyshypnc1)
WebKit
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que visitar un sitio web con contenido malicioso pueda provocar una suplantación en la interfaz del usuario
Descripción: Este problema se solucionó mejorando el manejo de IU.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea
WebKit
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario
Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.
CVE-2022-32792: Manfred Paul (@_manfp) en colaboración con Trend Micro Zero Day Initiative
Wi-Fi
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32837: Wang Yu de Cyberserval
Wi-Fi
Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD
Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado del sistema o daños en la memoria del kernel
Descripción: Para solucionar este problema, se mejoraron las comprobaciones.
CVE-2022-32847: Wang Yu de Cyberserval
Otros agradecimientos
802.1X
Nos gustaría agradecer a Shin Sun de la Universidad Nacional de Taiwán por su ayuda.
AppleMobileFileIntegrity
Nos gustaría agradecer a Csaba Fitzl (@theevilbit) de Offensive Security, Mickey Jin (@patch1t) de Trend Micro y Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
configd
Nos gustaría agradecer a Csaba Fitzl (@theevilbit) de Offensive Security, Mickey Jin (@patch1t) de Trend Micro y Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.