Acerca del contenido de seguridad de tvOS 15.6

En este documento, se describe el contenido de seguridad de tvOS 15.6.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que es posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

tvOS 15.6

Publicado el 20 de julio de 2022

APFS

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app con privilegios de usuario raíz pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Este problema se solucionó mejorando el manejo de la memoria.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que un usuario remoto pueda ocasionar la ejecución del código del kernel

Descripción: Se mejoró la comprobación de límites para solucionar un problema de desbordamiento de búferes.

CVE-2022-32788: Natalie Silvanovich de Google Project Zero

AppleAVD

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda divulgar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2022-32824: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda obtener privilegios de usuario raíz

Descripción: Se mejoró la administración de estados para solucionar un problema de autorización.

CVE-2022-32826: Mickey Jin (@patch1t) de Trend Micro

Audio

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

CVE-2022-32820: Un investigador anónimo

Audio

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda divulgar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreMedia

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda divulgar la memoria del kernel

Descripción: Para solucionar este problema, se mejoró el manejo de la memoria.

CVE-2022-32828: Antonio Zekic (@antoniozekic) y John Aakerblom (@jaakerblom)

CoreText

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda obtener privilegios de usuario raíz

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2022-32819: Joshua Mason de Mandiant

GPU Drivers

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda divulgar la memoria del kernel

Descripción: Se mejoró la comprobación de límites para solucionar varios problemas de escritura fuera de los límites.

CVE-2022-32793: Un investigador anónimo

GPU Drivers

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Se mejoró la validación para solucionar un problema de daños en la memoria.

CVE-2022-32821: John Aakerblom (@jaakerblom)

iCloud Photo Library

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda acceder a información confidencial del usuario

Descripción: Se solucionó un problema de divulgación de información eliminando el código vulnerable.

CVE-2022-32849: Joshua Jones

ICU

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario

Descripción: Se mejoró la comprobación de límites para solucionar un problema de escritura fuera de los límites.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea

ImageIO

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados pueda provocar la divulgación de la memoria de un proceso

Descripción: Este problema se solucionó mejorando el manejo de la memoria.

CVE-2022-32841: hjy79425575

ImageIO

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que el procesamiento de un archivo creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario

Descripción: Se mejoraron las comprobaciones para solucionar un problema de lógica.

CVE-2022-32802: Ivan Fratric de Google Project Zero, Mickey Jin (@patch1t)

ImageIO

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que el procesamiento de una imagen creada con fines malintencionados ocasione que se divulgue información del usuario

Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.

CVE-2022-32830: Ye Zhang (@co0py_Cat) de Baidu Security

JavaScriptCore

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que el procesamiento de contenido web creado pueda provocar la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoró la comprobación de los límites.

WebKit Bugzilla: 241931

CVE-2022-48503: Dongzhuo Zhao junto con ADLab de Venustech y ZhaoHai de Cyberpeace Tech Co., Ltd.

Entrada agregada el 21 de junio de 2023

Kernel

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app con privilegios de usuario raíz pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Este problema se solucionó mejorando el manejo de la memoria.

CVE-2022-32813: Xinru Chi de Pangu Lab

CVE-2022-32815: Xinru Chi de Pangu Lab

Kernel

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda divulgar la memoria del kernel

Descripción: Se mejoró la comprobación de límites para solucionar un problema de lectura fuera de los límites.

CVE-2022-32817: Xinru Chi de Pangu Lab

Kernel

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app con una función de lectura y escritura arbitraria del kernel pueda omitir la autenticación del puntero

Descripción: Se mejoró la administración de estados para solucionar un problema de lógica.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda provocar el cierre inesperado de una app o la ejecución de código arbitrario

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC de China (nipc.org.cn)

libxml2

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda divulgar información confidencial del usuario

Descripción: Se mejoró el manejo de la memoria para solucionar un problema en su inicialización.

CVE-2022-32823

Multi-Touch

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel

Descripción: Se mejoraron las comprobaciones para solucionar un problema de tipo confusión.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Software Update

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que un usuario con una posición de red privilegiada pueda dar seguimiento a la actividad de un usuario

Descripción: Este problema se solucionó usando HTTPS al enviar información a través de la red.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario

Descripción: Se mejoró la administración de estados para solucionar un problema de daños en la memoria.

CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) y xmzyshypnc(@xmzyshypnc1)

Entrada agregada el 8 de junio de 2023

WebKit

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que visitar un sitio web con contenido malicioso pueda provocar una suplantación en la interfaz del usuario

Descripción: Este problema se solucionó mejorando el manejo de IU.

WebKit Bugzilla: 239316

CVE-2022-32816: Dohyun Lee (@l33d0hyun) de SSD Secure Disclosure Labs y DNSLab, Universidad de Corea

WebKit

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda provocar la ejecución de código arbitrario

Descripción: Se mejoró la validación de entradas para solucionar un problema de escritura fuera de los límites.

WebKit Bugzilla: 240720

CVE-2022-32792: Manfred Paul (@_manfp) en colaboración con Trend Micro Zero Day Initiative

Wi-Fi

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que una app pueda provocar el cierre inesperado del sistema o escribir la memoria del kernel

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32837: Wang Yu de Cyberserval

Wi-Fi

Disponible para Apple TV 4K, Apple TV 4K (segunda generación) y Apple TV HD

Impacto: Es posible que un usuario remoto pueda provocar el cierre inesperado del sistema o daños en la memoria del kernel

Descripción: Para solucionar este problema, se mejoraron las comprobaciones.

CVE-2022-32847: Wang Yu de Cyberserval

Otros agradecimientos

802.1X

Nos gustaría agradecer a Shin Sun de la Universidad Nacional de Taiwán por su ayuda.

AppleMobileFileIntegrity

Nos gustaría agradecer a Csaba Fitzl (@theevilbit) de Offensive Security, Mickey Jin (@patch1t) de Trend Micro y Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.

configd

Nos gustaría agradecer a Csaba Fitzl (@theevilbit) de Offensive Security, Mickey Jin (@patch1t) de Trend Micro y Wojciech Reguła (@_r3ggi) de SecuRing por su ayuda.

Comunícate con el proveedor para obtener más información.

Fecha de publicación: noviembre 02, 2023