Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 16.2
Releasedatum: dinsdag 13 december 2022
Accounts
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een gebruiker kan mogelijk vertrouwelijke gebruikersinformatie bekijken
Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het uitvoeren van kernelcode
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-46694: Andrey Labunets en Nikita Tarakanov
AppleMobileFileIntegrity
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door hardened runtime in te schakelen.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) van SecuRing
AVEVideoEncoder
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2022-42848: ABC Research s.r.o
ImageIO
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het parseren van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met het parseren van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-42837: Weijia Dai (@dwj1210) van Momo Security
Toegevoegd op 7 juni 2023
Kernel
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2022-46689: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: verbinding maken met een kwaadaardige NFS-server kan leiden tot het uitvoeren van willekeurige code met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42842: pattern-f (@pattern_F_) van Ant Security Light-Year Lab
Kernel
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42845: Adam Doupé van ASU SEFCOM
Kernel
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem in versies van iOS die zijn uitgebracht vóór iOS 15.7.1.
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2022-48618: Apple
Toegevoegd op 9 januari 2024
libxml2
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2022-40303: Maddie Stone van Google Project Zero
libxml2
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-40304: Ned Williamson en Nathan Wachholz van Google Project Zero
Preferences
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een app kan mogelijk arbitraire bevoegdheden gebruiken
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-42855: Ivan Fratric van Google Project Zero
Safari
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface
Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een gebruiker kan de bevoegdheden verhogen
Beschrijving: er was een toegangsprobleem met geprivilegieerde API-aanroepen. Dit probleem is opgelost door extra beperkingen.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2022-42866: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing
Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-46705: Hyeon Park (@tree_segment) van Team ApplePIE
Toegevoegd op 7 juni 2023
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone van Google Project Zero
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugengebruik is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 245466
CVE-2022-46691: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan het Same Origin-beleid omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42852: hazbinhotel in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß van Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß van Google V8 Security
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) van SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß van Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie en nieuwer) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS die zijn uitgebracht vóór iOS 15.1.
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne van de Threat Analysis Group van Google
Aanvullende erkenning
Kernel
Met dank aan Zweig van Kunlun Lab voor de hulp.
Safari Extensions
Met dank aan Oliver Dunk en Christian R. van 1Password voor de hulp.
WebKit
Met dank aan een anonieme onderzoeker en scarlet voor de hulp.