Informacije o sigurnosnom sadržaju sustava tvOS 15.4
U ovom se dokumentu opisuje sigurnosni sadržaj sustava tvOS 15.4.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
tvOS 15.4
Accelerate Framework
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22633: ryuzaki
Accelerate Framework
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22633: ryuzaki
AppleAVD
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
AVEVideoEncoder
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2022-22634: anonimni istraživač
AVEVideoEncoder
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22635: anonimni istraživač
AVEVideoEncoder
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22636: anonimni istraživač
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-22611: Xingyu Jin (Google)
ImageIO
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22612: Xingyu Jin (Google)
IOGPUFamily
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22613: Alex, anonimni istraživač
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22614: anonimni istraživač
CVE-2022-22615: anonimni istraživač
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22632: Keegan Saunders
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-22640: sqrtpwn
LLVM
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: aplikacija može brisati datoteke za koje nema dozvolu
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2022-21658: Florian Weimer (@fweimer)
MediaRemote
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerne aplikacije mogle su otkriti što su korisnici drugih aplikacija instalirali
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2022-22670: Brandon Azad
Preferences
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija mogla bi čitati postavke drugih aplikacija
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) iz tvrtkeTencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) (Primefort Private Limited), Khiem Tran
UIKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi vidjeti povjerljive informacije putem prijedloga tipkovnice
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22621: Joey Hewitt
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s upravljanjem kolačićima riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22610: Quan Yin (tim za klijente za Bigo Technology Live)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22624: Kirin (@Pwnrin) (Tencentov sigurnosni odjel Xuanwu Lab)
CVE-2022-22628: Kirin (@Pwnrin) (Tencentov sigurnosni odjel Xuanwu Lab)
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22629: Jeonghoon Shin, Theori u suradnji s inicijativom Trend Micro Zero Day
WebKit
Dostupno za: Apple TV 4K i Apple TV HD
Učinak: zlonamjerno web-mjesto može izazvati neočekivano ponašanje u vezi s resursima iz više izvora
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22637: Tom McKee (Google)
Dodatna zahvala
Bluetooth
Na pomoći zahvaljujemo anonimnom istraživaču.
Siri
Na pomoći zahvaljujemo anonimnom istraživaču
syslog
Željeli bismo zahvaliti na pomoći Yonghwiju Jinu (@jinmo123) (Theori).
UIKit
Željeli bismo zahvaliti na pomoći Timu Shadelu (Day Logger, Inc.).
WebKit
Željeli bismo zahvaliti na pomoći Abdullahu Md Shalehu.
WebKit Storage
Željeli bismo zahvaliti na pomoći Martinu Bajaniku (FingerprintJS).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.