Obsah zabezpečenia v systéme tvOS 16.2
V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 16.2.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 16.2
Dátum vydania: 13. decembra 2022
Accounts
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Používateľ môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Analýza súboru videa so škodlivým kódom môže viesť k spusteniu kódu jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-46694: Andrey Labunets a Nikita Tarakanov
AppleMobileFileIntegrity
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2022-42865: Wojciech Reguła (@_r3ggi, SecuRing)
AVEVideoEncoder
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-42848: ABC Research s.r.o.
ImageIO
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Analýza súboru TIFF so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Pri analyzovaní URL adries dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-42837: Weijia Dai (@dwj1210, Momo Security)
Dátum pridania záznamu: 7. júna 2023
Kernel
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Pripojenie k serveru NFS so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu s oprávneniami jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Vzdialený používateľ môže byť schopný spôsobiť spustenie kódu jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42842: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kernel
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42845: Adam Doupé z tímu ASU SEFCOM
Kernel
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Útočiaca osoba s ľubovoľným prístupom na čítanie a zápis môže byť schopná obísť funkciu Pointer Authentication. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-48618: Apple
Dátum pridania záznamu: 9. januára 2024
libxml2
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-40303: Maddie Stone z tímu Google Project Zero
libxml2
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-40304: Ned Williamson a Nathan Wachholz z tímu Google Project Zero
Preferences
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Apka môže byť schopná použiť ľubovoľné oprávnenia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Safari
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Návšteva stránky, ktorá obsahuje škodlivý obsah, môže viesť k sfalšovaniu používateľského rozhrania
Popis: Pri spracovávaní URL adries dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení
Popis: Vo volaniach rozhrania API s oprávneniami dochádzalo k problému s prístupom. Tento problém bol vyriešený používaním ďalších obmedzení.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2022-42866: Anonymný výskumník
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Opis: Pri spracovávaní URL adries dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-46705: Hyeon Park (@tree_segment) z tímu ApplePIE
Dátum pridania záznamu: 7. júna 2023
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 245466
CVE-2022-46691: Anonymný výskumník
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom umožňuje obísť mechanizmus SOP (Same Origin Policy)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42852: hazbinhotel v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-46698: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab na Kórejskej univerzite)
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Opis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 244622
CVE-2022-42863: Anonymný výskumník
WebKit
Dostupné pre: Apple TV 4K, Apple TV 4K (2. generácia a novšia) a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.1.
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne (Google Threat Analysis Group)
Ďalšie poďakovanie
Kernel
Poďakovanie za pomoc si zaslúži Zweig z tímu Kunlun Lab.
Safari Extensions
Poďakovanie za pomoc si zaslúžia Oliver Dunk a Christian R. (1Password).
WebKit
Poďakovanie za pomoc si zaslúžia anonymný výskumník a scarlet.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.