Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
tvOS 16.2
Kiadási dátum: 2022. december 13.
Accounts
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videofájlok elemzésekor kernelkód végrehajtására került sor
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-46694: Andrey Labunets és Nikita Tarakanov
AppleMobileFileIntegrity
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Megerősített futtatási idővel hárítottuk el a problémát.
CVE-2022-42865: Wojciech Reguła (@_r3ggi, SecuRing)
AVEVideoEncoder
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2022-42848: ABC Research s.r.o
ImageIO
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Egy ártó szándékkal létrehozott TIFF-fájl elemzése a felhasználói adatok felfedéséhez vezetett
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hiba lépett fel az URL-ek elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-42837: Weijia Dai (@dwj1210, Momo Security)
Bejegyzés hozzáadva: 2023. június 7.
Kernel
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: A rosszindulatú NFS-kiszolgálókhoz való csatlakozás tetszőleges programkód végrehajtását eredményezhette kernelszintű jogosultságokkal
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42842: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kernel
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42845: Adam Doupé (ASU SEFCOM)
Kernel
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az olvasási és írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a Mutatóhitelesítést. Az Apple tisztában van vele, hogy a problémát kihasználták az iOS 15.7.1 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb ellenőrzésekkel kiküszöböltük a problémát.
CVE-2022-48618: Apple
Bejegyzés hozzáadva: 2024. január 9.
libxml2
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2022-40303: Maddie Stone (Google Project Zero)
libxml2
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-40304: Ned Williamson és Nathan Wachholz (Google Project Zero)
Preferences
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az appok tetszőleges jogosultságokat tudtak használni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Safari
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni
Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozásokkal hárítottuk el a problémát.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2022-42866: anonim kutató
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)
Bejegyzés hozzáadva: 2023. június 7.
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
WebKit Bugzilla: 245466
CVE-2022-46691: anonim kutató
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor megkerülhető volt a Same Origin szabályzat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42852: hazbinhotel, a Trend Micro Zero Day Initiative közreműködőjeként
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2022-46698: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab), Korea Univ.
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 244622
CVE-2022-42863: anonim kutató
WebKit
A következőkhöz érhető el: Apple TV 4K, Apple TV 4K (2. generációs és újabb) és Apple TV HD
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 15.1 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne (a Google fenyegetéselemző csoportja)
További köszönetnyilvánítás
Kernel
Köszönjük Zweig (Kunlun Lab) segítségét.
Safari Extensions
Köszönjük Oliver Dunk és Christian R. (1Password) segítségét.
WebKit
Köszönjük egy anonim kutató és scarlet segítségét.