Informacije o sigurnosnom sadržaju sustava tvOS 15.5
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 15.5.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 15.5
AppleAVD
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26702: anonimni istraživač, Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom)
AppleAVD
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22675: anonimni istraživač
AuthKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: lokalni korisnik mogao bi omogućiti iCloud fotografije bez provjere autentičnosti
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26724: Jorge A. Caballero (@DataDrivenMD)
AVEVideoEncoder
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-26736: anonimni istraživač
CVE-2022-26737: anonimni istraživač
CVE-2022-26738: anonimni istraživač
CVE-2022-26739: anonimni istraživač
CVE-2022-26740: anonimni istraživač
DriverKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-26763: Linus Henze (Pinauten GmbH (pinauten.de))
ImageIO
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26711: actae0n (Blacksun Hackers Club) i inicijativa Zero Day (Trend Micro)
IOKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2022-26701: chenyuwang (@mzzzz__) (Tencentov sigurnosni odjel Xuanwu Lab)
IOMobileFrameBuffer
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26768: anonimni istraživač
IOSurfaceAccelerator
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26771: anonimni istraživač
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs (@starlabs_sg))
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26757: Ned Williamson (Google Project Zero)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26764: Linus Henze (Pinauten GmbH (pinauten.de))
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26765: Linus Henze (Pinauten GmbH (pinauten.de))
LaunchServices
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje na aplikacijama drugih proizvođača.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
libresolv
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: napadači bi mogli izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26775: Max Shavrick (@_mxms) (Googleov tim za sigurnost)
libresolv
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: napadači bi mogli izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26708: Max Shavrick (@_mxms) (Googleov tim za sigurnost)
libresolv
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)
libresolv
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: napadači bi mogli izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26776: Max Shavrick (@_mxms) (Google Security Team), Zubair Ashraf (Crowdstrike)
libxml2
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-23308
Security
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: zlonamjerne aplikacije mogle bi zaobići provjeru valjanosti potpisa
Opis: problem s raščlanjivanjem certifikata riješen je poboljšanim provjerama.
CVE-2022-26766: Linus Henze (Pinauten GmbH (pinauten.de))
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26700: ryuzaki
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26709: Chijin Zhou (ShuiMuYuLin Ltd) i Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou (ShuiMuYuLin Ltd) i Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin (Theori)
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26716: SorryMybad (@S0rryMybad) (Kunlun Lab)
CVE-2022-26719: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)
Wi-Fi
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: zlonamjerne aplikacije mogle bi otkriti ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26745: Scarlet Raine
Dodatna zahvala
AppleMobileFileIntegrity
Željeli bismo zahvaliti Wojciechu Regułi (@_r3ggi) (SecuRing) na pomoći.
WebKit
Na pomoći zahvaljujemo Jamesu Leeju i anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.