Om sikkerhetsinnholdet i tvOS 15.6
Dette dokumentet beskriver sikkerhetsinnholdet i tvOS 15.6.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 15,6
APFS
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En ekstern bruker kan være i stand til å kjøre kjernekode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret grensekontroll.
CVE-2022-32788: Natalie Silvanovich fra Google Project Zero
AppleAVD
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32824: Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32826: Mickey Jin (@patch1t) fra Trend Micro
Audio
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-32820: en anonym forsker
Audio
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32828: Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)
CoreText
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En ekstern bruker kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32819: Joshua Mason fra Mandiant
GPU Drivers
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Flere problemer med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32793: en anonym forsker
GPU Drivers
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.
CVE-2022-32849: Joshua Jones
ICU
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32841: hjy79425575
ImageIO
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2022-32802: Ivan Fratric fra Google Project Zero, Mickey Jin (@patch1t)
ImageIO
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandlingen av et skadelig bilde kan føre til at brukerinformasjon avsløres
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-32830: Ye Zhang (@co0py_Cat) fra Baidu Security
JavaScriptCore
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2022-48503: Dongzhuo Zhao i samarbeid med ADLab fra Venustech og ZhaoHai fra Cyberpeace Tech Co., Ltd.
Kernel
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32813: Xinru Chi fra Pangu Lab
CVE-2022-32815: Xinru Chi fra Pangu Lab
Kernel
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-32817: Xinru Chi fra Pangu Lab
Kernel
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app med muligheter for vilkårlig lesing og skriving til kjernen kan klare å forbigå pekergodkjenningen
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC fra Kina (nipc.org.cn)
libxml2
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2022-32823
Multi-Touch
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En bruker i en privilegert nettverksposisjon kan spore en brukers aktivitet
Beskrivelse: Dette problemet ble løst ved å bruke HTTPS ved sending av informasjon over nettverket.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32863: P1umer (@p1umer), afang (@afang5472) og xmzyshypnc (@xmzyshypnc1)
WebKit
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning
Problemet ble løst gjennom forbedret håndtering av grensesnittet.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-32792: Manfred Paul (@_manfp) i samarbeid med Trend Micro Zero Day Initiative
Wi-Fi
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32837: Wang Yu fra Cyberserval
Wi-Fi
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32847: Wang Yu fra Cyberserval
Ytterligere anerkjennelser
802.1X
Vi vil gjerne takke Shin Sun fra National Taiwan University for hjelpen.
AppleMobileFileIntegrity
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjelpen.
configd
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.