Informacije o sigurnosnom sadržaju sustava tvOS 15.6
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 15.6.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 15.6
APFS
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem s prekoračenjem spremnika riješen je poboljšanom provjerom ograničenja.
CVE-2022-32788: Natalie Silvanovich (Google Project Zero)
AppleAVD
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32824: Antonio Zekić (@antoniozekic) i John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32826: Mickey Jin (@patch1t) (Trend Micro)
Audio
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32820: anonimni istraživač
Audio
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32828: Antonio Zekić (@antoniozekic) i John Aakerblom (@jaakerblom)
CoreText
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32819: Joshua Mason (Mandiant)
GPU Drivers
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: veći broj problema sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32793: anonimni istraživač
GPU Drivers
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.
CVE-2022-32849: Joshua Jones
ICU
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište
ImageIO
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32841: hjy79425575
ImageIO
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-32802: Ivan Fratrić (Google Project Zero), Mickey Jin (@patch1t)
ImageIO
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjerne slike moglo bi doći do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-32830: Ye Zhang (@co0py_Cat) (Baidu Security)
JavaScriptCore
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-48503: Dongzhuo Zhao, ADLab (Venustech) i ZhaoHai (Cyberpeace Tech Co., Ltd)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32813: Xinru Chi (Pangu Lab)
CVE-2022-32815: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32817: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija može prouzročiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC Kine (nipc.org.cn)
libxml2
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32823
Multi-Touch
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: korisnik s povlaštenim mrežnim položajem mogao bi pratiti aktivnosti korisnika
Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32863: P1umer (@p1umer), afang (@afang5472) i xmzyshypnc (@xmzyshypnc1)
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište
WebKit
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32792: Manfred Paul (@_manfp) u suradnji sa zajednicom Trend Micro Zero Day Initiative
Wi-Fi
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32837: Wang Yu (Cyberserval)
Wi-Fi
Dostupno za: Apple TV 4K, Apple TV 4K (druge generacije) i Apple TV HD
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32847: Wang Yu (Cyberserval)
Dodatna zahvala
802.1X
Na pomoći zahvaljujemo Shin Sunu s Nacionalnog tajvanskog sveučilišta.
AppleMobileFileIntegrity
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security), Mickeyju Jinu (@patch1t) (Trend Micro) i Wojciechu Regułi (@_r3ggi) (SecuRing).
configd
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security), Mickeyju Jinu (@patch1t) (Trend Micro) i Wojciechu Regułi (@_r3ggi) (SecuRing).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.