Informazioni sui contenuti di sicurezza di tvOS 16,2
In questo documento vengono descritti i contenuti di sicurezza di tvOS 16.2.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere la propria clientela, Apple non divulga, illustra né conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina relativa agli aggiornamenti di sicurezza Apple.
Quando possibile, i documenti sulla sicurezza Apple utilizzano i CVE-ID per indicare la vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
tvOS 16.2
Data di rilascio: 13 dicembre 2022
Accounts
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: una persona può essere in grado di visualizzare informazioni sensibili dell'utente.
Descrizione: il problema è stato risolto attraverso una migliore protezione dei dati.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'analisi di un file video dannoso può provocare l'esecuzione del codice kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46694: Andrey Labunets e Nikita Tarakanov
AppleMobileFileIntegrity
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un'app potrebbe bypassare le preferenze sulla privacy.
Descrizione: il problema è stato risolto abilitando runtime rafforzato.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) di SecuRing
AVEVideoEncoder
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-42848: ABC Research s.r.o
ImageIO
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'analisi di un file TIFF dannoso può causare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta attraverso una migliore gestione dello stato.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema durante l'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-42837: Weijia Dai (@dwj1210) di Momo Security
Voce aggiunta il 7 giugno 2023
Kernel
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un'app potrebbe eseguire codice arbitrario con privilegi kernel.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2022-46689: Ian Beer di Google Project Zero
Kernel
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: la connessione a un server NFS dannoso può causare l'esecuzione di codice arbitrario con privilegi kernel.
Descrizione: il problema è stato risolto con migliori controlli dei limiti.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un utente collegato in remoto potrebbe provocare l'esecuzione del codice kernel.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42842: pattern-f (@pattern_F_) di Ant Security Light-Year Lab
Kernel
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un'app con privilegi root potrebbe eseguire codice arbitrario con privilegi kernel
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42845: Adam Doupé di ASU SEFCOM
Kernel
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un utente malintenzionato con capacità arbitraria di lettura e scrittura potrebbe riuscire a bypassare l'autenticazione del puntatore. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato contro le versioni di iOS precedenti alla 15.7.1.
Descrizione: il problema è stato risolto con controlli migliori.
CVE-2022-48618: Apple
Voce aggiunta il 9 gennaio 2024
libxml2
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un utente collegato in remoto potrebbe causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.
CVE-2022-40303: Maddie Stone di Google Project Zero
libxml2
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un utente collegato in remoto può causare la chiusura improvvisa dell'app o l'esecuzione di codice arbitrario.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2022-40304: Ned Williamson e Nathan Wachholz di Google Project Zero
Preferences
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un'applicazione può essere in grado di utilizzare autorizzazioni arbitrarie.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2022-42855: Ivan Fratric di Google Project Zero
Safari
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'accesso a un sito web che presenta contenuti dannosi potrebbe causare lo spoofing dell'interfaccia utente
Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un utente potrebbe rendere i privilegi più elevati.
Descrizione: si verificava un problema di accesso con le chiamate API privilegiate. Questo problema è stato risolto attraverso ulteriori restrizioni.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: un'applicazione potrebbe leggere informazioni sensibili sulla posizione.
Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache.
CVE-2022-42866: un ricercatore anonimo
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'accesso a un sito web dannoso potrebbe causare lo spoofing della barra degli indirizzi.
Descrizione: esisteva un problema di spoofing nella gestione degli URL Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2022-46705: Hyeon Park (@tree_segment) del Team ApplePIE
Voce aggiunta il 7 giugno 2023
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone di Google Project Zero
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
WebKit Bugzilla: 245466
CVE-2022-46691: un ricercatore anonimo
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può eludere la Same Origin Policy.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare la divulgazione della memoria dei processi.
Descrizione: il problema è stato risolto con una migliore gestione della memoria.
CVE-2022-42852: hazbinhotel in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß di Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß di Google V8 Security
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.
Descrizione: un problema logico è stato risolto attraverso migliori controlli.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) di SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß di Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: un ricercatore anonimo
WebKit
Disponibile per: Apple TV 4K, Apple TV 4K (2a generazione e modelli successivi) e Apple TV HD
Impatto: l'elaborazione di un contenuto web pericoloso potrebbe causare l'esecuzione di codice arbitrario. Apple è a conoscenza di un report secondo cui questo problema potrebbe essere stato sfruttato attivamente contro le versioni di iOS rilasciate prima di iOS 15.1.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione dello stato.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne del Threat Analysis Group di Google
Altri riconoscimenti
Kernel
Ringraziamo Zweig di Kunlun Lab per l'assistenza.
Safari Extensions
Ringraziamo Oliver Dunk e Christian R. di 1Password per l'assistenza.
WebKit
Ringraziamo un ricercatore anonimo e scarlet per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.