Zawartość związana z zabezpieczeniami w systemie tvOS 16.2
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie tvOS 16.2.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach mają postać identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
tvOS 16.2
Wydano 13 grudnia 2022 r.
Accounts
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: użytkownik może wyświetlić poufne informacje użytkownika.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: analiza składni złośliwie spreparowanego pliku wideo może doprowadzić do wykonania kodu jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-46694: Andrey Labunets i Nikita Tarakanov
AppleMobileFileIntegrity
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten problem naprawiono przez włączenie wzmocnionego środowiska wykonawczego.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) z SecuRing
AVEVideoEncoder
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2022-42848: ABC Research s.r.o
ImageIO
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego pliku TIFF może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze analizowania adresów URL występował błąd. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-42837: Weijia Dai (@dwj1210) z Momo Security
Wpis dodano 7 czerwca 2023 r.
Kernel
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dwukrotnego zwolnienia pamięci przez poprawienie procedury zarządzania pamięcią.
CVE-2022-43454: Adam Doupé z ASU SEFCOM
Wpis dodano 6 marca 2025 r.
Kernel
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2022-46689: Ian Beer z Google Project Zero
Kernel
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: połączenie ze złośliwym serwerem NFS może doprowadzić do wykonania dowolnego kodu z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: zdalny użytkownik może być w stanie doprowadzić do wykonania kodu jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42842: pattern-f (@pattern_F_) z Ant Security Light-Year Lab
Kernel
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42845: Adam Doupé z ASU SEFCOM
Kernel
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: osoba atakująca mająca możliwość dowolnego odczytu i zapisu może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication). Apple ma świadomość, że problem mógł być wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.7.1.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2022-48618: Apple
Wpis dodano 9 stycznia 2024 r.
libxml2
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-40303: Maddie Stone z Google Project Zero
libxml2
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-40304: Ned Williamson i Nathan Wachholz z Google Project Zero
Preferences
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja może być w stanie użyć dowolnych uprawnień.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-42855: Ivan Fratric z Google Project Zero
Safari
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: wyświetlenie strony zawierającej ramki prezentujące złośliwą zawartość może doprowadzić do podszycia się pod interfejs użytkownika.
Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.
Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2022-42866: Adam M.
Wpis uaktualniono 16 sierpnia 2024 r.
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-46705: Hyeon Park (@tree_segment) z Team ApplePIE
Wpis dodano 7 czerwca 2023 r.
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone z Google Project Zero
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 245466
CVE-2022-46691: anonimowy badacz
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ominąć zasadę tego samego pochodzenia.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-42852: hazbinhotel w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß z Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß z Google V8 Security
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości www może ujawnić poufne informacje użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) z SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß z Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: anonimowy badacz
WebKit
Dostępne dla: Apple TV 4K, Apple TV 4K (2. generacji i nowsze) oraz Apple TV HD
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany w atakach na systemy iOS wydane przed systemem iOS 15.1.
Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne z Threat Analysis Group firmy Google
Dodatkowe podziękowania
Kernel
Dziękujemy za udzieloną pomoc: Zweig z Kunlun Lab.
Safari Extensions
Dziękujemy za udzieloną pomoc: Oliver Dunk i Christian R. z 1Password.
WebKit
Dziękujemy za udzieloną pomoc: anonimowy badacz i scarlet.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.