Tietoja tvOS 15.4:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan tvOS 15.4:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 15.4
Accelerate Framework
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-22633: ryuzaki
Accelerate Framework
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-22633: ryuzaki
AppleAVD
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat. Marc Schoenefeldia
AVEVideoEncoder
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2022-22634: nimetön tutkija
AVEVideoEncoder
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Sovellus saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-22635: nimetön tutkija
AVEVideoEncoder
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-22636: nimetön tutkija
ImageIO
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-22611: Xingyu Jin (Google)
ImageIO
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-22612: Xingyu Jin (Google)
IOGPUFamily
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-22613: Alex, nimetön tutkija
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-22614: nimetön tutkija
CVE-2022-22615: nimetön tutkija
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-22632: Keegan Saunders
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.
Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla tarkistusta.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-22640: sqrtpwn
LLVM
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Ohjelma saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2022-21658: Florian Weimer (@fweimer)
MediaRemote
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallinen appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.
CVE-2022-22670: Brandon Azad
Preferences
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä lukemaan muiden appien asetuksia.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2022-22609: Mickey Jin (@patch1t) sekä Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Sandbox
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04, Primefort Private Limited) ja Khiem Tran
UIKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteelle, saattoi pystyä näkemään arkaluonteisia tietoja näppäimistöehdotusten kautta.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-22621: Joey Hewitt
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja.
Kuvaus: Evästeiden hallintaongelma ratkaistiin parantamalla tilan hallintaa.
CVE-2022-22662: Prakash (@1lastBr3ath, Threat Nix)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-22610: Quan Yin (Bigo Technology, Live Client Team)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-22624: Kirin (@Pwnrin, Tencent Security Xuanwu Lab)
CVE-2022-22628: Kirin (@Pwnrin, Tencent Security Xuanwu Lab)
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-22629: Jeonghoon Shin (Theori) yhteistyössä Trend Micron Zero Day Initiativen kanssa
WebKit
Saatavuus: Apple TV 4K ja Apple TV HD
Vaikutus: Haitallinen sivusto saattoi aiheuttaa odottamatonta eri lähteiden välistä toimintaa.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-22637: Tom McKee (Google)
Kiitokset
Bluetooth
Haluamme kiittää avusta nimetöntä tutkijaa.
Siri
Haluamme kiittää avusta nimetöntä tutkijaa
syslog
Haluamme kiittää Yonghwi Jiniä (@jinmo123, Theori) hänen avustaan.
UIKit
Haluamme kiittää Tim Shadelia (Day Logger, Inc.) hänen avustaan.
WebKit
Haluamme kiittää Abdullah Md Shalehia hänen avustaan.
WebKit Storage
Haluamme kiittää Martin Bajanikia (FingerprintJS) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.