A tvOS 16 biztonsági változásjegyzéke
Ez a dokumentum a tvOS 16 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
tvOS 16
Accelerate Framework
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2022-42795: ryuzaki
AppleAVD
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) és John Aakerblom (@jaakerblom, mindketten: ABC Research s.r.o), Yinyi Wu, Tommaso Bianco (@cutesmilee__)
GPU Drivers
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-32903: anonim kutató
ImageIO
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2022-1622
Image Processing
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.
Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Image Processing
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32949: Tingting Yin (Tsinghua University)
Kernel
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Kernel
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-32914: Zweig (Kunlun Lab)
MediaLibrary
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-32908: anonim kutató
Notifications
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)
SQLite
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-36690
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32888: P1umer (@p1umer)
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2022-32912: Jeonghoon Shin (@singi21a), a Trend Micro Zero Day Initiative közreműködőjeként
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez
Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.
CVE-2022-32891: @real_as3617, egy névtelen kutató
Wi-Fi
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-46709: Wang Yu (Cyberserval)
Wi-Fi
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs) és Apple TV HD.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32925: Wang Yu (Cyberserval)
További köszönetnyilvánítás
AppleCredentialManager
Köszönjük @jonathandata1 segítségét.
Identity Services
Szeretnénk megköszönni Joshua Jones segítségét.
Kernel
Köszönjük egy anonim kutató segítségét.
Sandbox
Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) segítségét.
UIKit
Köszönjük Aleczander Ewing segítségét.
WebKit
Köszönjük egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.