Obsah zabezpečenia v systéme tvOS 15.4
V tomto dokumente sa opisuje obsah zabezpečenia v systéme tvOS 15,4.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
tvOS 15.4
Accelerate Framework
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-22633: ryuzaki
Accelerate Framework
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22633: ryuzaki
AppleAVD
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
AVEVideoEncoder
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22634: Anonymný výskumník
AVEVideoEncoder
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22635: Anonymný výskumník
AVEVideoEncoder
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22636: Anonymný výskumník
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-22611: Xingyu Jin (Google)
ImageIO
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-22612: Xingyu Jin (Google)
IOGPUFamily
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-22613: Alex, anonymný výskumník
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22614: Anonymný výskumník
CVE-2022-22615: Anonymný výskumník
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22632: Keegan Saunders
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému s dereferenciou smerníka s hodnotou NULL, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22638: derrek (@derrekr6)
Kernel
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-22640: sqrtpwn
LLVM
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Apka môže byť schopná vymazať súbory, pri ktorých na to nemá povolenie
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2022-21658: Florian Weimer (@fweimer)
MediaRemote
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť, aké ďalšie aplikácie má používateľ nainštalované
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
CVE-2022-22670: Brandon Azad
Preferences
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná čítať nastavenia iných aplikácií
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Sandbox
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Aplikácia so škodlivým kódom môže byť schopná obísť určité nastavenia ochrany osobných údajov
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) (Primefort Private Limited), Khiem Tran
UIKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná zobraziť citlivé informácie prostredníctvom návrhov klávesnice
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22621: Joey Hewitt
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému so správou súborov cookie, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22610: Quan Yin (Bigo Technology Live Client Team)
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-22624: Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)
CVE-2022-22628: Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-22629: Jeonghoon Shin zo spoločnosti Theori v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple TV 4K a Apple TV HD
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neočakávané správanie využívajúce zámenu pôvodu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-22637: Tom McKee zo spoločnosti Google
Ďalšie poďakovanie
Bluetooth
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Siri
Poďakovanie za pomoc si zaslúži anonymný výskumník
syslog
Poďakovanie za pomoc si zaslúži Yonghwi Jin (@jinmo123) (Theori).
UIKit
Poďakovanie za pomoc si zaslúži Tim Shadel (Day Logger, Inc).
WebKit
Poďakovanie za pomoc si zaslúži Abdullah Md Shaleh.
WebKit Storage
Poďakovanie za pomoc si zaslúži Martin Bajanik zo spoločnosti FingerprintJS.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.