Over de beveiligingsinhoud van tvOS 15.6
In dit document wordt de beveiligingsinhoud van tvOS 15.6 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
tvOS 15.6
APFS
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2022-32788: Natalie Silvanovich van Google Project Zero
AppleAVD
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-32824: Antonio Zekic (@antoniozekic) en John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-32826: Mickey Jin (@patch1t) van Trend Micro
Audio
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-32820: een anonieme onderzoeker
Audio
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-32828: Antonio Zekic (@antoniozekic) en John Aakerblom (@jaakerblom)
CoreText
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een externe gebruiker kan het onverwacht beëindigen van de app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-32819: Joshua Mason van Mandiant
GPU Drivers
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: meerdere problemen met het schrijven buiten het bereik zijn verholpen door een verbeterde bereikcontrole.
CVE-2022-32793: een anonieme onderzoeker
GPU Drivers
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersinformatie
Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.
CVE-2022-32849: Joshua Jones
ICU
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) van SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-32841: hjy79425575
ImageIO
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2022-32802: Ivan Fratric van Google Project Zero, Mickey Jin (@patch1t)
ImageIO
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het vrijgeven van gebruikersinformatie
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-32830: Ye Zhang (@co0py_Cat) van Baidu Security
JavaScriptCore
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2022-48503: Dongzhuo Zhao in samenwerking met ADLab van Venustech en ZhaoHai van Cyberpeace Tech Co., Ltd.
Kernel
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-32813: Xinru Chi van Pangu Lab
CVE-2022-32815: Xinru Chi van Pangu Lab
Kernel
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-32817: Xinru Chi van Pangu Lab
Kernel
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app met willekeurige kernellees- en -schrijfcapaciteiten kan Pointer Authentication omzeilen
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan onverwachte beëindiging van de app of willekeurige code-uitvoering veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC van China (nipc.org.cn)
libxml2
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-32823
Multi-Touch
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een gebruiker in een geprivilegieerde netwerkpositie kan de activiteit van een gebruiker bijhouden
Beschrijving: dit probleem is verholpen door HTTPS te gebruiken bij het verzenden van informatie over het netwerk.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) en xmzyshypnc(@xmzyshypnc1)
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface
Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) van SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-32792: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro
Wi-Fi
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-32837: Wang Yu van Cyberserval
Wi-Fi
Beschikbaar voor: Apple TV 4K, Apple TV 4K (2e generatie) en Apple TV HD
Impact: een externe gebruiker kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-32847: Wang Yu van Cyberserval
Aanvullende erkenning
802.1X
Met dank aan Shin Sun van de Nationale universiteit van Taiwan voor de hulp.
AppleMobileFileIntegrity
Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security, Mickey Jin (@patch1t) van Trend Micro en Wojciech Reguła (@_r3ggi) van SecuRing voor de hulp.
configd
Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security, Mickey Jin (@patch1t) van Trend Micro en Wojciech Reguła (@_r3ggi) van SecuRing voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.