Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

tvOS 15.4
Releasedatum: maandag 14 maart 2022
Accelerate Framework
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22633: ryuzaki
Toegevoegd op 25 mei 2022
Accelerate Framework
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2022-22633: ryuzaki
Toegevoegd op 25 mei 2022
AppleAVD
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
AVEVideoEncoder
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2022-22634: een anonieme onderzoeker
AVEVideoEncoder
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22635: een anonieme onderzoeker
AVEVideoEncoder
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22636: een anonieme onderzoeker
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-22611: Xingyu Jin van Google
ImageIO
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22612: Xingyu Jin van Google
IOGPUFamily
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22613: Alex, een anonieme onderzoeker
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22614: een anonieme onderzoeker
CVE-2022-22615: een anonieme onderzoeker
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-22632: Keegan Saunders
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een aanvaller in een geprivilegieerde positie kan een denial of service-aanval uitvoeren
Beschrijving: een null pointer dereference-probleem is verholpen door verbeterde validatie.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2022-22640: sqrtpwn
LLVM
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een programma kan bestanden verwijderen waarvoor het geen bevoegdheid heeft
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2022-21658: Florian Weimer (@fweimer)
Toegevoegd op 25 mei 2022
MediaRemote
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadaardige app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd
Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.
CVE-2022-22670: Brandon Azad
Preferences
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadaardig programma kan mogelijk de instellingen van andere programma's lezen
Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.
CVE-2022-22609: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadaardig programma kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) van Primefort Private Limited, Khiem Tran
Bijgewerkt op 25 mei 2022
UIKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: iemand met fysieke toegang tot een iOS-apparaat zou via toetsenbordsuggesties gevoelige informatie kunnen zien
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-22621: Joey Hewitt
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een probleem met het beheer van cookies is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 232748
CVE-2022-22662: Prakash (@1lastBr3ath) van Threat Nix
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 232812
CVE-2022-22610: Quan Yin van Bigo Technology Live Client Team
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
WebKit Bugzilla: 233172
CVE-2022-22624: Kirin (@Pwnrin) van Tencent Security Xuanwu Lab
WebKit Bugzilla: 234147
CVE-2022-22628: Kirin (@Pwnrin) van Tencent Security Xuanwu Lab
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
WebKit Bugzilla: 234966
CVE-2022-22629: Jeonghoon Shin van Theori in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple TV 4K en Apple TV HD
Impact: een kwaadaardige website kan onverwacht cross-origin-gedrag veroorzaken
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
WebKit Bugzilla: 235294
CVE-2022-22637: Tom McKee van Google

Aanvullende erkenning
Bluetooth
Met dank aan een anonieme onderzoeker voor de hulp.
Siri
Met dank aan een anonieme onderzoeker voor de hulp
syslog
Met dank aan Yonghwi Jin (@jinmo123) van Theori voor de hulp.
UIKit
Met dank aan Tim Shadel van Day Logger, Inc. voor de hulp.
WebKit
Met dank aan Abdullah Md Shaleh voor de hulp.
WebKit Storage
Met dank aan Martin Bajanik van FingerprintJS voor de hulp.