Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
tvOS 16.2
Julkaistu 13.12.2022
Accounts
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: haitallisen videotiedoston jäsentäminen saattoi aiheuttaa mielivaltaisen kernel-koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-46694: Andrey Labunets ja Nikita Tarakanov
AppleMobileFileIntegrity
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.
CVE-2022-42865: Wojciech Reguła (@_r3ggi, SecuRing)
AVEVideoEncoder
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-42848: ABC Research s.r.o
ImageIO
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: haitallisen TIFF-tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: URL-osoitteiden jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2022-42837: Weijia Dai (@dwj1210, Momo Security)
Kohta lisätty 7.6.2023
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: yhteyden muodostaminen haitalliseen NFS-palvelimeen saattoi johtaa mielivaltaisen koodin suorittamiseen kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42842: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42845: Adam Doupé (ASU SEFCOM)
Kernel
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2022-48618: Apple
Kohta lisätty 9.1.2024
libxml2
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-40303: Maddie Stone (Google Project Zero)
libxml2
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: etäkäyttäjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-40304: Ned Williamson ja Nathan Wachholz (Google Project Zero)
Preferences
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: appi saattoi kyetä käyttämään sattumanvaraisia valtuutuksia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Safari
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2022-42866: nimetön tutkija
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)
Kohta lisätty 7.6.2023
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 245466
CVE-2022-46691: nimetön tutkija
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi ohittaa saman alkuperän käytännön
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42852: hazbinhotel osana Trend Micro Zero Day Initiative ‑ohjelmaa
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-46698: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab, Korea Univ.)
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 244622
CVE-2022-42863: nimetön tutkija
WebKit
Saatavuus: Apple TV 4K, Apple TV 4K (2. sukupolvi ja sitä uudemmat) ja Apple TV HD
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää ennen iOS 15.1:tä julkaistuja iOS-versioita vastaan.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne (Google's Threat Analysis Group)
Kiitokset
Kernel
Haluamme kiittää avusta Zweigia (Kunlun Lab).
Safari Extensions
Haluamme kiittää henkilöitä Oliver Dunk ja Christian R. (1Password) heidän avustaan.
WebKit
Haluamme kiittää nimetöntä tutkijaa ja scarletia heidän avustaan.