Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.
tvOS 16.2
Дата выпуска: 13 декабря 2022 г.
Accounts
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Пользователь может просматривать конфиденциальные пользовательские данные.
Описание. Проблема устранена путем улучшения защиты данных.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного файла видео может приводить к выполнению кода с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2022-46694: Andrey Labunets и Nikita Tarakanov
AppleMobileFileIntegrity
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем включения защищенной среды выполнения.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) из SecuRing
AVEVideoEncoder
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2022-42848: ABC Research s.r.o
ImageIO
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного файла может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Анализ вредоносного файла TIFF может приводить к раскрытию данных пользователя.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Приложение может выполнять произвольный код с правами ядра.
Описание. Условие состязания устранено путем улучшения обработки состояний.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Возникала проблема при анализе URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2022-42837: Weijia Dai (@dwj1210) из Momo Security
Запись добавлена 7 июня 2023 г.
Kernel
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2022-46689: Ian Beer из Google Project Zero
Kernel
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Подключение к вредоносному серверу NFS может привести к выполнению произвольного кода с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки границ.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Удаленный пользователь может вызвать выполнение кода ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-42842: pattern-f (@pattern_F_) из Ant Security Light-Year Lab
Kernel
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Приложение с привилегиями пользователя root может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-42845: Adam Doupé из ASU SEFCOM
Kernel
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей. Компании Apple известно о том, что эта проблема могла использоваться для нарушения безопасности iOS версий до 15.7.1.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2022-48618: Apple
Запись добавлена 9 января 2024 г.
libxml2
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2022-40303: Maddie Stone из Google Project Zero
libxml2
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-40304: Ned Williamson и Nathan Wachholz из Google Project Zero
Preferences
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Приложение может получать произвольные права.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-42855: Ivan Fratric из Google Project Zero
Safari
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Посещение веб-сайта, через который распространяется вредоносный контент, может привести к подмене пользовательского интерфейса.
Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Пользователь может повышать уровень привилегий.
Описание. При совершении вызовов интерфейса API с преимущественным правом возникала проблема доступа. Проблема устранена путем дополнительных ограничений.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема устранена путем улучшенной обработки кэшей.
CVE-2022-42866: анонимный исследователь
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.
Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2022-46705: Hyeon Park (@tree_segment) из команды ApplePIE
Запись добавлена 7 июня 2023 г.
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone из Google Project Zero
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.
WebKit Bugzilla: 245466
CVE-2022-46691: анонимный исследователь
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может привести к нарушению политики одного и того же источника.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-42852: hazbinhotel в сотрудничестве с Trend Micro Zero Day Initiative
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß из Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß из Google V8 Security
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию конфиденциальных данных пользователя.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) из лаборатории SSD Secure Disclosure Labs & DNSLab, университет Кореи
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß из Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: анонимный исследователь
WebKit
Целевые продукты: Apple TV 4K, Apple TV 4K (2-го поколения и более поздние модели) и Apple TV HD
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Apple известно о том, что эта проблема, возможно, активно использовалась в версиях iOS, выпущенных до iOS 15.1.
Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne из подразделения Google Threat Analysis Group
Дополнительные благодарности
Kernel
Выражаем благодарность за помощь Zweig из Kunlun Lab.
Safari Extensions
Выражаем благодарность за помощь Oliver Dunk и Christian R. из 1Password.
WebKit
Выражаем благодарность за помощь анонимному исследователю и пользователю scarlet.