Tietoja tvOS 16:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 16:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 16
Accelerate Framework
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42795: ryuzaki
AppleAVD
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
GPU Drivers
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-32903: nimetön tutkija
ImageIO
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.
CVE-2022-1622
Image Processing
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Image Processing
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32949: Tingting Yin (Tsinghua University)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-32914: Zweig (Kunlun Lab)
MediaLibrary
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32908: nimetön tutkija
Notifications
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)
SQLite
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-36690
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32888: P1umer (@p1umer)
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) yhteistyössä Trend Micron Zero Day Initiativen kanssa
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.
Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
CVE-2022-32891: @real_as3617, nimetön tutkija
Wi-Fi
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-46709: Wang Yu (Cyberserval)
Wi-Fi
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32925: Wang Yu (Cyberserval)
Kiitokset
AppleCredentialManager
Haluamme kiittää käyttäjää @jonathandata1 hänen avustaan.
Identity Services
Haluamme kiittää Joshua Jonesia hänen antamastaan avusta.
Kernel
Haluamme kiittää avusta nimetöntä tutkijaa.
Sandbox
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
UIKit
Haluamme kiittää Aleczander Ewingiä hänen avustaan.
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.