Tietoja tvOS 15.6:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 15.6:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 15.6
APFS
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2022-32788: Natalie Silvanovich (Google Project Zero)
AppleAVD
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32824: Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2022-32826: Mickey Jin (@patch1t, Trend Micro)
Audio
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32820: nimetön tutkija
Audio
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32828: Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)
CoreText
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32819: Joshua Mason (Mandiant)
GPU Drivers
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: useita rajojen ulkopuolisen muistin kirjoitusongelmia ratkaistiin parantamalla rajojen tarkistusta.
CVE-2022-32793: nimetön tutkija
GPU Drivers
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2022-32849: Joshua Jones
ICU
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32787: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab, Korea Univ.)
ImageIO
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32841: hjy79425575
ImageIO
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-32802: Ivan Fratric (Google Project Zero), Mickey Jin (@patch1t)
ImageIO
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32830: Ye Zhang (@co0py_Cat, Baidu Security)
JavaScriptCore
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-48503: Dongzhuo Zhao yhteistyössä Venustechin ADLabin kanssa ja ZhaoHai (Cyberpeace Tech Co., Ltd.)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32813: Xinru Chi (Pangu Lab)
CVE-2022-32815: Xinru Chi (Pangu Lab)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32817: Xinru Chi (Pangu Lab)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan osoitintodennuksen.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi aiheuttaa apin odottamattoman sulkeutumisen tai suorittaa mielivaltaista koodia.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), Kiinan NCNIPC (nipc.org.cn)
libxml2
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32823
Multi-Touch
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: etuoikeutetussa verkkoasemassa oleva käyttäjä pystyi seuraamaan käyttäjän toimintaa.
Kuvaus: ongelma on ratkaistu käyttämällä tiedonsiirtoon verkossa HTTPS-protokollaa.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-32863: P1umer (@p1umer), afang (@afang5472) ja xmzyshypnc (@xmzyshypnc1)
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.
Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
CVE-2022-32816: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab, Korea Univ.)
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32792: Manfred Paul (@_manfp) yhteistyössä Trend Micro Zero Day Initiativen kanssa
Wi-Fi
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32837: Wang Yu (Cyberserval)
Wi-Fi
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi) ja Apple TV HD
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32847: Wang Yu (Cyberserval)
Kiitokset
802.1X
Haluamme kiittää National Taiwan Universityn Shin Sunia hänen antamastaan avusta.
AppleMobileFileIntegrity
Haluamme kiittää Offensive Securityn Csaba Fitzliä (@theevilbit), Trend Micron Mickey Jiniä (@patch1t) ja SecuRingin Wojciech Regułaa (@_r3ggi) heidän antamastaan avusta.
configd
Haluamme kiittää Offensive Securityn Csaba Fitzliä (@theevilbit), Trend Micron Mickey Jiniä (@patch1t) ja SecuRingin Wojciech Regułaa (@_r3ggi) heidän antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.