Informazioni sui contenuti di sicurezza di tvOS 15.4

In questo documento vengono descritti i contenuti di sicurezza di tvOS 15.4.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

tvOS 15.4

Data di rilascio: 14 marzo 2022

Accelerate Framework

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-22633: ryuzaki

Voce aggiunta il 25 maggio 2022

Accelerate Framework

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-22633: ryuzaki

Voce aggiunta il 25 maggio 2022

AppleAVD

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare un danno alla memoria heap.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.

AVEVideoEncoder

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2022-22634: un ricercatore anonimo

AVEVideoEncoder

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-22635: un ricercatore anonimo

AVEVideoEncoder

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-22636: un ricercatore anonimo

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2022-22611: Xingyu Jin di Google

ImageIO

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di un'immagine dannosa può causare un danno alla memoria heap.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-22612: Xingyu Jin di Google

IOGPUFamily

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-22641: Mohamed Ghannam (@_simo36)

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2022-22613: Alex, un ricercatore anonimo

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2022-22614: un ricercatore anonimo

CVE-2022-22615: un ricercatore anonimo

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2022-22632: Keegan Saunders

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.

CVE-2022-22638: derrek (@derrekr6)

Kernel

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2022-22640: sqrtpwn

LLVM

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione potrebbe essere in grado di eliminare file per i quali non dispone dell'autorizzazione.

Descrizione: una race condition è stata risolta con un'ulteriore convalida.

CVE-2022-21658: Florian Weimer (@fweimer)

Voce aggiunta il 25 maggio 2022

MediaRemote

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2022-22670: Brandon Azad

Preferences

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di leggere le impostazioni di altre applicazioni.

Descrizione: il problema è stato risolto attraverso maggiori controlli dei permessi.

CVE-2022-22609: Mickey Jin (@patch1t), e Zhipeng Huo (@R3dF09) e Yuebin Sun (@yuebinsun2020) di Tencent Security Xuanwu Lab (xlab.tencent.com)

Voce aggiornata il 7 giugno 2023

Sandbox

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un'applicazione dannosa può essere in grado di bypassare alcune preferenze sulla privacy.

Descrizione: il problema è stato risolto attraverso una migliore logica delle autorizzazioni.

CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) di Primefort Private Limited, Khiem Tran

Voce aggiornata il 25 maggio 2022

UIKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: una persona con accesso fisico a un dispositivo iOS può essere in grado di vedere informazioni sensibili tramite i suggerimenti della tastiera.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2022-22621: Joey Hewitt

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può divulgare informazioni sensibili dell'utente.

Descrizione: un problema di gestione dei cookie è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 232748

CVE-2022-22662: Prakash (@1lastBr3ath) di Threat Nix

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 232812

CVE-2022-22610: Quan Yin del Team Live Client di Bigo Technology

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 233172

CVE-2022-22624: Kirin (@Pwnrin) di Tencent Security Xuanwu Lab

WebKit Bugzilla: 234147

CVE-2022-22628: Kirin (@Pwnrin) di Tencent Security Xuanwu Lab

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

WebKit Bugzilla: 234966

CVE-2022-22629: Jeonghoon Shin di Theori in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: Apple TV 4K e Apple TV HD

Impatto: un sito web dannoso può causare un comportamento multiorigine inaspettato.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

WebKit Bugzilla: 235294

CVE-2022-22637: Tom McKee di Google

Altri riconoscimenti

Bluetooth

Ringraziamo un ricercatore anonimo per l'assistenza.

Siri

Ringraziamo un ricercatore anonimo per l'assistenza

syslog

Ringraziamo Yonghwi Jin (@jinmo123) di Theori per l'assistenza.

UIKit

Ringraziamo Tim Shadel di Day Logger, Inc. per l'assistenza.

WebKit

Ringraziamo Abdullah Md Shaleh per l'assistenza.

WebKit Storage

Ringraziamo Martin Bajanik di FingerprintJS per l'assistenza.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: