Om sikkerhetsinnholdet i tvOS 16
I dette dokumentet beskrives sikkerhetsinnholdet i tvOS 16.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
tvOS 16
Accelerate Framework
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2022-42795: ryuzaki
AppleAVD
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32907: Natalie Silvanovich fra Google Project Zero, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
GPU Drivers
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-32903: en anonym forsker
ImageIO
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.
CVE-2022-1622
Image Processing
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En sandkasseapp kan være i stand til å finne ut hvilken app som bruker kameraet for øyeblikket
Beskrivelse: Problemet ble løst gjennom tilleggsbegrensninger for observerbarheten av apptilstander.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Image Processing
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32949: Tingting Yin fra Tsinghua University
Kernel
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)
Kernel
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32866: Linus Henze fra Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig fra Kunlun Lab
Kernel
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-32914: Zweig fra Kunlun Lab
MediaLibrary
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En bruker kan være i stand til å utvide rettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-32908: en anonym forsker
Notifications
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En bruker med fysisk tilgang til en enhet kan få tilgang til kontakter fra låst skjerm
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-32881: Csaba Fitzl (@theevilbit) fra Offensive Security
SQLite
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-36690
WebKit
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
WebKit
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.?
CVE-2022-32888: P1umer (@p1umer)
WebKit
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32912: Jeonghoon Shin (@singi21a) hos Theori som jobber med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning
Problemet ble løst gjennom forbedret håndtering av grensesnittet.
CVE-2022-32891: @real_as3617, en anonym forsker
Wi-Fi
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-46709: Wang Yu fra Cyberserval
Wi-Fi
Tilgjengelig for: Apple TV 4K, Apple TV 4K (2. generasjon) og Apple TV HD
Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32925: Wang Yu fra Cyberserval
Ytterligere anerkjennelser
AppleCredentialManager
Vi vil gjerne takke @jonathandata1 for hjelpen.
Identity Services
Vi vil gjerne takke Joshua Jones for hjelpen.
Kernel
Vi vil gjerne takke en anonym forsker for hjelpen.
Sandbox
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
UIKit
Vi vil gjerne takke Aleczander Ewing for hjelpen.
WebKit
Vi vil gjerne takke en anonym forsker for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.