אודות תוכן האבטחה של tvOS 16

מסמך זה מתאר את תוכן האבטחה של tvOS 16.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

tvOS 16

הופץ ב-12 בספטמבר 2022

Accelerate Framework

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2022-42795:‏ ryuzaki

AppleAVD

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32907: נטלי סילבנוביץ' מ-Google Project Zero, אנטוניו זקיץ' (‎@antoniozekic) וג'ון אייקרבלום (‎@jaakerblom)‏, ABC Research s.r.o.‎, ייני וו, תומסו ביאנקו (‎@cutesmilee__‎)

GPU Drivers

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-32903: חוקר אנונימי

ImageIO

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2022-1622

Image Processing

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום בארגז חול עלול להצליח לקבוע איזה יישום משתמש כעת במצלמה

תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.

CVE-2022-32913: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

Image Processing

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32949: טינגטינג יין מאוניברסיטת טסינגואה

Kernel

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32864: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

Kernel

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32866: לינוס הנצה מ-Pinauten GmbH‏ (pinauten.de)

CVE-2022-32911: צווייג מ-Kunlun Lab

Kernel

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2022-32914: צווייג מ-Kunlun Lab

MediaLibrary

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2022-32908: חוקר אנונימי

Notifications

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: משתמש שיש לו גישה פיזית למכשיר עלול להצליח לגשת לאנשי קשר ממסך הנעילה

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32879: עוביידולה סומר

Sandbox

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-32881: סאבה פיצל (‎@theevilbit) מ-Offensive Security

SQLite

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2021-36690

WebKit

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla:‏ 241969

CVE-2022-32886:‏ P1umer‏ (‎@p1umer),‏ afang‏ (‎@afang5472),‏ xmzyshypnc‏ (‎@xmzyshypnc1)

WebKit

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

WebKit Bugzilla:‏ 242047

CVE-2022-32888:‏ P1umer‏ (‎@p1umer)

WebKit

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

WebKit Bugzilla‏: 242762

CVE-2022-32912:‏ ג'ונג-הון שין (‎@singi21a) ב-Theori יחד עם Trend Micro Zero Day Initiative

WebKit

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.

WebKit Bugzilla:‏ 242762

CVE-2022-32891:‏ ‎@real_as3617, חוקר אנונימי

Wi-Fi

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2022-46709: וואנג יו מ-Cyberserval

הרשומה נוספה ב‑7 ביוני 2023

Wi-Fi

זמין עבור: Apple TV 4K‏, Apple TV 4K (דור שני) ו-Apple TV HD

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-32925: וואנג יו מ-Cyberserval

תודות נוספות

AppleCredentialManager

אנחנו מבקשים להודות ל-‎@jonathandata1 על הסיוע.

Identity Services

אנחנו מבקשים להודות לג'ושוע ג'ונס על הסיוע.

Kernel

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Sandbox

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) מ-Offensive Security על הסיוע.

UIKit

אנחנו מבקשים להודות לאלכסנדר יואינג על הסיוע.

WebKit

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 31 באוקטובר 2023

מועיל?