Zawartość związana z zabezpieczeniami w systemie tvOS 16
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 16.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
tvOS 16
Accelerate Framework
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2022-42795: ryuzaki
AppleAVD
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32907: Natalie Silvanovich z Google Project Zero, Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
GPU Drivers
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-32903: anonimowy badacz
ImageIO
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2022-1622
Image Processing
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja w piaskownicy może być w stanie ustalić, która aplikacja korzysta obecnie z kamery.
Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Image Processing
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32949: Tingting Yin z Tsinghua University
Kernel
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32864: Linus Henze z Pinauten GmbH (pinauten.de)
Kernel
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32866: Linus Henze z Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig z Kunlun Lab
Kernel
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-32914: Zweig z Kunlun Lab
MediaLibrary
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-32908: anonimowy badacz
Notifications
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: użytkownik mający fizyczny dostęp do urządzenia może uzyskać dostęp do kontaktów z poziomu zablokowanego ekranu.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32881: Csaba Fitzl (@theevilbit) z Offensive Security
SQLite
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-36690
WebKit
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
WebKit
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32888: P1umer (@p1umer)
WebKit
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32912: Jeonghoon Shin (@singi21a) z Theori w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: wyświetlenie strony zawierającej ramki prezentujące złośliwą zawartość może doprowadzić do podszycia się pod interfejs użytkownika.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
CVE-2022-32891: @real_as3617, anonimowy badacz
Wi-Fi
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-46709: Wang Yu z Cyberserval
Wi-Fi
Dostępne dla: urządzeń Apple TV 4K, Apple TV 4K (2. generacji) i Apple TV HD
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32925: Wang Yu z Cyberserval
Dodatkowe podziękowania
AppleCredentialManager
Dziękujemy za udzieloną pomoc: @jonathandata1.
Identity Services
Dziękujemy za udzieloną pomoc: Joshua Jones.
Kernel
Dziękujemy anonimowemu badaczowi za pomoc.
Sandbox
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.
UIKit
Dziękujemy za udzieloną pomoc: Aleczander Ewing.
WebKit
Dziękujemy anonimowemu badaczowi za pomoc.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.