Om sikkerhetsinnholdet i tvOS 15.4
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 15.4.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 15,4
Accelerate Framework
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2022-22633: ryuzaki
Accelerate Framework
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22633: ryuzaki
AppleAVD
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til skade i heapen
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
AVEVideoEncoder
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-22634: en anonym forsker
AVEVideoEncoder
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-22635: en anonym forsker
AVEVideoEncoder
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-22636: en anonym forsker
ImageIO
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2022-22611: Xingyu Jin fra Google
ImageIO
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til skade i heapen
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2022-22612: Xingyu Jin fra Google
IOGPUFamily
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-22613: Alex, en anonym forsker
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-22614: en anonym forsker
CVE-2022-22615: en anonym forsker
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22632: Keegan Saunders
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En angriper i en privilegert posisjon kan utføre tjenestenekt
Beskrivelse: En dereferanse for en nullpeker ble løst med forbedret validering.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-22640: sqrtpwn
LLVM
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et program kan være i stand til å slette filer som det ikke har tillatelse til
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2022-21658: Florian Weimer (@fweimer)
MediaRemote
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å identifisere hvilke andre programmer en bruker har installert
Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.
CVE-2022-22670: Brandon Azad
Preferences
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å lese andre programmers innstillinger
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2022-22609: Mickey Jin (@patch1t) og Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) fra Primefort Private Limited, Khiem Tran
UIKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: En person med fysisk tilgang til en iOS-enhet kan se sensitiv informasjon via tastaturforslag
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-22621: Joey Hewitt
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon
Beskrivelse: Et problem med informasjonskapsler ble løst med forbedret tilstandshåndtering.
CVE-2022-22662: Prakash (@1lastBr3ath) fra Threat Nix
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22610: Quan Yin fra Bigo Technology Live Client Team
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-22624: Kirin (@Pwnrin) fra Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) fra Tencent Security Xuanwu Lab
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2022-22629: Jeonghoon Shin fra Theori i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for Apple TV 4K og Apple TV HD
Virkning: Et skadelig nettsted kan forårsake uventet oppførsel
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22637: Tom McKee fra Google
Ytterligere anerkjennelser
Bluetooth
Vi vil gjerne takke en anonym forsker for hjelpen.
Siri
Vi vil gjerne takke en anonym forsker for hjelpen
syslog
Vi vil gjerne takke Yonghwi Jin (@jinmo123) fra Theori for hjelpen.
UIKit
Vi vil gjerne takke Tim Shadel fra Day Logger, Inc. for hjelpen.
WebKit
Vi vil gjerne takke Abdullah Md Shaleh for hjelpen.
WebKit Storage
Vi vil gjerne takke Martin Bajanik fra FingerprintJS for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.