Informazioni sui contenuti di sicurezza di tvOS 16,2

In questo documento vengono descritti i contenuti di sicurezza di tvOS 16.2.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.

Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 16.2

Accounts

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: una persona può essere in grado di visualizzare informazioni sensibili dell'utente.

Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.

CVE-2022-42843: Mickey Jin (@patch1t)

AppleAVD

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'analisi di un file video dannoso può provocare l'esecuzione del codice kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-46694: Andrey Labunets e Nikita Tarakanov

AppleMobileFileIntegrity

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un'app potrebbe bypassare le preferenze sulla privacy.

Descrizione: il problema è stato risolto abilitando runtime rafforzato.

CVE-2022-42865: Wojciech Reguła (@_r3ggi) di SecuRing

AVEVideoEncoder

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-42848: ABC Research s.r.o

ImageIO

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-46693: Mickey Jin (@patch1t)

ImageIO

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'analisi di un file TIFF dannoso può causare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42851: Mickey Jin (@patch1t)

IOHIDFamily

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-46690: John Aakerblom (@jaakerblom)

iTunes Store

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema durante l'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-42837: Weijia Dai (@dwj1210) di Momo Security

Kernel

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2022-46689: Ian Beer di Google Project Zero

Kernel

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: la connessione a un server NFS dannoso può causare l'esecuzione di codice arbitrario con privilegi kernel.

Descrizione: il problema è stato risolto con migliori controlli dei limiti.

CVE-2022-46701: Felix Poulin-Belanger

Kernel

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42842: pattern-f (@pattern_F_) di Ant Security Light-Year Lab

Kernel

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42845: Adam Doupé di ASU SEFCOM

Kernel

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un utente malintenzionato con capacità arbitraria di lettura e scrittura potrebbe riuscire a bypassare l'autenticazione del puntatore. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato contro le versioni di iOS precedenti alla 15.7.1.

Descrizione: il problema è stato risolto con controlli migliori.

CVE-2022-48618: Apple

libxml2

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un utente collegato in remoto potrebbe causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2022-40303: Maddie Stone di Google Project Zero

libxml2

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-40304: Ned Williamson e Nathan Wachholz di Google Project Zero

Preferences

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un'applicazione può essere in grado di utilizzare autorizzazioni arbitrarie.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42855: Ivan Fratric di Google Project Zero

Safari

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente

Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

Software Update

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un utente potrebbe rendere i privilegi più elevati.

Descrizione: si verificava un problema di accesso con le chiamate API privilegiate. Questo problema è stato risolto attraverso ulteriori restrizioni.

CVE-2022-42849: Mickey Jin (@patch1t)

Weather

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: un'applicazione potrebbe leggere informazioni sensibili sulla posizione.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.

CVE-2022-42866: un ricercatore anonimo

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.

Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-46705: Hyeon Park (@tree_segment) del Team ApplePIE

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-42867: Maddie Stone di Google Project Zero

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-46691: un ricercatore anonimo

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.

Descrizione: il problema è stato risolto con una migliore gestione della memoria.

CVE-2022-42852: hazbinhotel in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-46696: Samuel Groß di Google V8 Security

CVE-2022-46700: Samuel Groß di Google V8 Security

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: un problema logico è stato risolto attraverso migliori controlli.

CVE-2022-46698: Dohyun Lee (@l33d0hyun) di SSD Secure Disclosure Labs & DNSLab, Korea Univ.

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-46699: Samuel Groß di Google V8 Security

CVE-2022-42863: un ricercatore anonimo

WebKit

Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD

Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 15.1.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-42856: Clément Lecigne del Threat Analysis Group di Google

Altri riconoscimenti

Kernel

Ringraziamo Zweig di Kunlun Lab per l'assistenza.

Safari Extensions

Ringraziamo Oliver Dunk e Christian R. di 1Password per l'assistenza.

WebKit

Ringraziamo un ricercatore anonimo e scarlet per l'assistenza.