Om säkerhetsinnehållet i tvOS 15.6
Det här dokumentet beskriver säkerhetsinnehållet i tvOS 15.6.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
tvOS 15.6
APFS
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en fjärranvändare kan orsaka körning av kernelkod
Beskrivning: ett problem med buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2022-32788: Natalie Silvanovich på Google Project Zero
AppleAVD
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan avslöja kernelminnet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32824: Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32826: Mickey Jin (@patch1t) på Trend Micro
Audio
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-32820: en anonym forskare
Audio
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan avslöja kernelminnet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan avslöja kernelminnet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32828: Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom)
CoreText
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en fjärranvändare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs
Beskrivning: problemet hanterades med förbättrade gränskontroller.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: En app kan få rotbehörigheter
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32819: Joshua Mason på Mandiant
GPU Drivers
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan avslöja kernelminnet
Beskrivning: flera problem med skrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32793: en anonym forskare
GPU Drivers
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan komma åt känslig användarinformation
Beskrivning: Ett problem med avslöjande av information åtgärdades genom borttagning av den sårbara koden.
CVE-2022-32849: Joshua Jones
ICU
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) på SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32841: hjy79425575
ImageIO
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2022-32802: Ivan Fratric på Google Project Zero, Mickey Jin (@patch1t)
ImageIO
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: bearbetning av en xml-fil med skadligt innehåll kan leda till att användarinformation avslöjas
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32830: Ye Zhang (@co0py_Cat) på Baidu Security
JavaScriptCore
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: problemet hanterades med förbättrade gränskontroller.
CVE-2022-48503: Dongzhuo Zhao i samarbete med ADLab of Venustech och ZhaoHai på Cyberpeace Tech Co., Ltd.
Kernel
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32813: Xinru Chi på Pangu Lab
CVE-2022-32815: Xinru Chi på Pangu Lab
Kernel
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan avslöja kernelminnet
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32817: Xinru Chi på Pangu Lab
Kernel
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app med godtycklig läs- och skrivkapacitet till kernel kan kringgå pekarautentisering
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan orsaka att appar avslutas oväntat eller att opålitlig kod körs
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC på China (nipc.org.cn)
libxml2
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan läcka känslig användarinformation
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2022-32823
Multi-Touch
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en användare i en behörig nätverksposition kan spåra en användares aktivitet
Beskrivning: detta problem åtgärdades genom att använda HTTPS när information skickas över nätverket.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) och xmzyshypnc(@xmzyshypnc1)
WebKit
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas
Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) på SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-32792: Manfred Paul (@_manfp) i samarbete med Trend Micro Zero Day Initiative
Wi-Fi
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-32837: Wang Yu på Cyberserval
Wi-Fi
Tillgänglig för: Apple TV 4K, Apple TV 4K (2:a generationen) och Apple TV HD
Effekt: en fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-32847: Wang Yu på Cyberserval
Ytterligare tack
802.1X
Vi vill tacka Shin Sun på National Taiwan University för hjälpen.
AppleMobileFileIntegrity
Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security, Mickey Jin (@patch1t) på Trend Micro och Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
configd
Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security, Mickey Jin (@patch1t) på Trend Micro och Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.