O sigurnosnom sadržaju sustava tvOS 16.1
Ovaj dokument opisuje sigurnosni sadržaj sustava tvOS 16.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 16.1
AppleMobileFileIntegrity
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem je riješen uklanjanjem dodatnih prava.
CVE-2022-42825: Mickey Jin (@patch1t)
Audio
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: parsiranjem zlonamjerne audiodatoteke moglo je doći do otkrivanja korisničkih podataka
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42798: anonimni istraživač i inicijativa Zero Day (Trend Micro)
AVEVideoEncoder
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32940: ABC Research s.r.o.
CFNetwork
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog certifikata moglo bi doći do pokretanja proizvoljnog koda
Opis: u rukovanju objektom WKWebView otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2022-42813: Jonathan Zhang (Open Computing Facility, ocf.berkeley.edu)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija bi mogla uzrokovati neočekivano zatvaranje sustava ili potencijalno izvršavanje koda uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-46712: Tommy Muir (@Muirey03)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32924: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-42808: Zweig (Kunlun Lab)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32944: Tim Michaud (@TimGMichaud) (Moveworks.ai)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32926: Tim Michaud (@TimGMichaud) (Moveworks.ai)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-42801: Ian Beer (Google Project Zero)
Model I/O
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjerne USD datoteke moglo je doći do otkrivanja sadržaja memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) i Yinyi Wu (Ant Security Light-Year Lab)
Sandbox
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2022-42811: Justin Bui (@slyd0g) (Snowflake)
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2022-42823: Dohyun Lee (@l33d0hyun) (SSD Labs)
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab na Sveučilištu u Koreji), Dohyun Lee (@l33d0hyun) (DNSLab na Sveučilištu u Koreji)
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obrada zlonamjernog web-sadržaja može otkriti interna stanja aplikacije
Opis: problem s ispravnošću u JIT-u riješen je poboljšanim provjerama.
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) (KAIST Hacking Lab)
Dodatna zahvala
iCloud
Željeli bismo zahvaliti Timu Michaudu (@TimGMichaud) (Moveworks.ai) na pomoći.
Kernel
Željeli bismo zahvaliti Peteru Nguyenu (STAR Labs), Timu Michaudu (@TimGMichaud) (Moveworks.ai), Tommyju Muiru (@Muirey03) na pomoći.
WebKit
Željeli bismo zahvaliti Maddie Stone (Google Project Zero), Narendri Bhatiju (@imnarendrabhati) (Suma Soft Pvt. Ltd.) i anonimnom istraživaču na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.