Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
tvOS 16.2
Släpptes 13 december 2022
Accounts
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En användare kan visa känslig användarinformation
Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Tolkning av en videofil med skadligt innehåll kan leda till körning av kernelkod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-46694: Andrey Labunets och Nikita Tarakanov
AppleMobileFileIntegrity
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: problemet åtgärdades genom att aktivera härdad exekvering.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) från SecuRing
AVEVideoEncoder
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2022-42848: ABC Research s.r.o
ImageIO
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Tolkning av en skadlig TIFF-fil kan leda till att användarinformation avslöjas
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Ett problem förekom i tolkningen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2022-42837: Weijia Dai (@dwj1210) på Momo Security
Lades till 7 juni 2023
Kernel
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2022-46689: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Anslutning till en skadlig NFS-server kan orsaka körning av opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En fjärranvändare kan orsaka körning av kernelkod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-42842: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab
Kernel
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-42845: Adam Doupé från ASU SEFCOM
Kernel
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En angripare med godtycklig läs- och skrivkapacitet till kan kringgå pekarautentisering. Apple känner till en rapport om att det här problemet kan ha utnyttjats på versioner av iOS som släppts före iOS 15.7.1.
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2022-48618: Apple
Lades till 9 januari 2024
libxml2
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2022-40303: Maddie Stone på Google Project Zero
libxml2
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-40304: Ned Williamson och Nathan Wachholz från Google Project Zero
Preferences
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En app kan använda opålitliga behörigheter
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-42855: Ivan Fratric på Google Project Zero
Safari
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas
Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: en användare kanske kan öka behörigheter
Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades genom ytterligare begränsningar.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2022-42866: En anonym forskare
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas
Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2022-46705: Hyeon Park (@tree_segment) på Team ApplePIE
Lades till 7 juni 2023
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone på Google Project Zero
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 245466
CVE-2022-46691: En anonym forskare
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan kringgå principen för samma ursprung
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas
Beskrivning: Problemet åtgärdades genom förbättrad minneshantering.
CVE-2022-42852: Hazbinhotel i samarbete med Trend Micro Zero Day Initiative
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß på Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß på Google V8 Security
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) på SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß på Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: En anonym forskare
WebKit
Tillgängligt för: Apple TV 4K, Apple TV 4K (2:a generationen och senare) och Apple TV HD
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att detta problem kan ha utnyttjats aktivt mot versioner av iOS som släppts före iOS 15.1.
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne på Googles Threat Analysis Group
Ytterligare tack
Kernel
Vi vill tacka Zweig på Kunlun Lab för hjälpen.
Safari Extensions
Vi vill tacka Oliver Dunk och Christian R. på 1Password för hjälpen.
WebKit
Vi vill tacka en anonym forskare och Scarlet för hjälpen.