A tvOS 15.4 biztonsági változásjegyzéke

Ez a dokumentum a tvOS 15.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

tvOS 15.4

Kiadás dátuma: 2022. március 14.

Accelerate Framework

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2022-22633: ryuzaki

Bejegyzés hozzáadva: 2022. május 25.

Accelerate Framework

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-22633: ryuzaki

Bejegyzés hozzáadva: 2022. május 25.

AppleAVD

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.

AVEVideoEncoder

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2022-22634: anonim kutató

AVEVideoEncoder

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-22635: anonim kutató

AVEVideoEncoder

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-22636: anonim kutató

ImageIO

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2022-22611: Xingyu Jin (Google)

ImageIO

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2022-22612: Xingyu Jin (Google)

IOGPUFamily

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-22641: Mohamed Ghannam (@_simo36)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-22613: Alex, anonim kutató

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-22614: anonim kutató

CVE-2022-22615: anonim kutató

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-22632: Keegan Saunders

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2022-22638: derrek (@derrekr6)

Kernel

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-22640: sqrtpwn

LLVM

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Egyes alkalmazások esetenként képesek voltak olyan fájlokat is törölni, amelyekhez nem volt jogosultságuk

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2022-21658: Florian Weimer (@fweimer)

Bejegyzés hozzáadva: 2022. május 25.

MediaRemote

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani, hogy a felhasználó milyen más alkalmazásokat telepített.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2022-22670: Brandon Azad

Preferences

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások olvasni tudták más alkalmazások beállításait.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com)

Bejegyzés frissítve: 2023. június 7.

Sandbox

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: A rosszindulatú alkalmazások meg tudtak kerülni bizonyos adatvédelmi beállításokat.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04, Primefort Private Limited), Khiem Tran

Bejegyzés frissítve: 2022. május 25.

UIKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az iOS-készülékhez fizikailag hozzáférő személy meg tudott tekinteni bizalmas jellegű információkat a billentyűzetjavaslatok révén.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-22621: Joey Hewitt

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok.

Leírás: Hatékonyabb állapotkezeléssel hárítottunk el egy sütikezelési problémát.

WebKit Bugzilla: 232748

CVE-2022-22662: Prakash (@1lastBr3ath, Threat Nix)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

WebKit Bugzilla: 232812

CVE-2022-22610: Quan Yin (Bigo Technology Live Client Team)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

WebKit Bugzilla: 233172

CVE-2022-22624: Kirin (@Pwnrin, Tencent Security Xuanwu Lab)

WebKit Bugzilla: 234147

CVE-2022-22628: Kirin (@Pwnrin, Tencent Security Xuanwu Lab)

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

WebKit Bugzilla: 234966

CVE-2022-22629: Jeonghoon Shin (Theori), a Trend Micro Zero Day Initiative közreműködőjeként

WebKit

A következő készülékekhez érhető el: Apple TV 4K és Apple TV HD.

Érintett terület: Az ártó szándékkal létrehozott webhelyek váratlanul eltérő forrású viselkedést tudtak okozni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

WebKit Bugzilla: 235294

CVE-2022-22637: Tom McKee (Google)

További köszönetnyilvánítás

Bluetooth

Köszönjük egy anonim kutató segítségét.

Siri

Köszönjük egy anonim kutató segítségét

syslog

Köszönjük Yonghwi Jin (@jinmo123, Theori) segítségét.

UIKit

Köszönjük Tim Shadel (Day Logger, Inc.) segítségét.

WebKit

Köszönjük Abdullah Md Shaleh közreműködését.

WebKit Storage

Köszönjük Martin Bajanik (FingerprintJS) közreműködését.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: