เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 16.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 16.2

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย ให้ดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

tvOS 16.2

เปิดตัวเมื่อวันที่ 13 ธันวาคม 2022

Accounts

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: ผู้ใช้อาจดูข้อมูลผู้ใช้ที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการปกป้องข้อมูลให้ดียิ่งขึ้น

CVE-2022-42843: Mickey Jin (@patch1t)

AppleAVD

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การแยกวิเคราะห์ไฟล์วิดีโอที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้โค้ดที่มีสิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-46694: Andrey Labunets และ Nikita Tarakanov

AppleMobileFileIntegrity

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปอาจบายพาสการตั้งค่าความเป็นส่วนตัวได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปิดใช้งานรันไทม์ที่ยากขึ้น

CVE-2022-42865: Wojciech Reguła (@_r3ggi) จาก SecuRing

AVEVideoEncoder

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-42848: ABC Research s.r.o

ImageIO

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้โค้ดโดยพลการ

CVE-2022-46693: Mickey Jin (@patch1t)

ImageIO

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การแยกวิเคราะห์ไฟล์ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-42851: Mickey Jin (@patch1t)

IOHIDFamily

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

CVE-2022-46690: John Aakerblom (@jaakerblom)

iTunes Store

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการได้

คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-42837: Weijia Dai (@dwj1210) จาก Momo Security

เพิ่มรายการเมื่อวันที่ 7 มิถุนายน 2023

Kernel

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหา Double Free ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2022-43454: Adam Doupé จาก ASU SEFCOM

เพิ่มรายการเมื่อวันที่ 6 มีนาคม 2025

Kernel

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปอาจสามารถรันโค้ดโดยพลการภายใต้สิทธิ์เคอร์เนลได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2022-46689: Ian Beer จาก Google Project Zero

Kernel

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การเชื่อมต่อกับเซิร์ฟเวอร์ NFS ที่ประสงค์ร้ายอาจทำให้มีการสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น

CVE-2022-46701: Felix Poulin-Belanger

Kernel

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิดการใช้โค้ดที่มีสิทธิ์เคอร์เนลได้

CVE-2022-42842: pattern-f (@pattern_F_) จาก Ant Security Light-Year Lab

Kernel

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล

CVE-2022-42845: Adam Doupé จาก ASU SEFCOM

Kernel

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: ผู้โจมตีที่มีความสามารถในการอ่านและการเขียนข้อมูลโดยพลการอาจสามารถบายพาส Pointer Authentication ได้ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.7.1

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2022-48618: Apple

เพิ่มรายการเมื่อวันที่ 9 มกราคม 2024

libxml2

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-40303: Maddie Stone จาก Google Project Zero

libxml2

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

CVE-2022-40304: Ned Williamson และ Nathan Wachholz จาก Google Project Zero

Preferences

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปอาจสามารถใช้สิทธิ์โดยอำเภอใจได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2022-42855: Ivan Fratric จาก Google Project Zero

Safari

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การเข้าเว็บไซต์ที่มีเนื้อหาประสงค์ร้ายอาจทำให้เกิดการปลอมแปลง UI

คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

Software Update

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: ผู้ใช้อาจยกระดับสิทธิ์ได้

คำอธิบาย: มีปัญหาในการเข้าถึงด้วยการเรียก API ที่มีสิทธิ์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม

CVE-2022-42849: Mickey Jin (@patch1t)

Weather

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: แอปอาจอ่านข้อมูลตำแหน่งที่ตั้งที่ละเอียดอ่อนได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการแคชให้ดียิ่งขึ้น

CVE-2022-42866: Adam M.

อัปเดตรายการเมื่อวันที่ 16 สิงหาคม 2024

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

CVE-2022-46705: Hyeon Park (@tree_segment) จาก Team ApplePIE

เพิ่มรายการเมื่อวันที่ 7 มิถุนายน 2023

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์บนเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 245521

CVE-2022-42867: Maddie Stone จาก Google Project Zero

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

WebKit Bugzilla: 245466

CVE-2022-46691: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเลี่ยงนโยบายต้นกำเนิดเดียวกันได้

WebKit Bugzilla: 246783

CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

CVE-2022-42852: hazbinhotel ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

WebKit Bugzilla: 246942

CVE-2022-46696: Samuel Groß จาก Google V8 Security

WebKit Bugzilla: 247562

CVE-2022-46700: Samuel Groß จาก Google V8 Security

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้

CVE-2022-46698: Dohyun Lee (@l33d0hyun) จาก SSD Secure Disclosure Labs & DNSLab, Korea Univ.

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 247420

CVE-2022-46699: Samuel Groß จาก Google V8 Security

WebKit Bugzilla: 244622

CVE-2022-42863: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2 และใหม่กว่า) และ Apple TV HD

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ Apple รับทราบถึงรายงานที่แจ้งว่าอาจมีการใช้ช่องโหว่จากปัญหานี้กับ iOS เวอร์ชั่นก่อน iOS 15.1

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

WebKit Bugzilla: 248266

CVE-2022-42856: Clément Lecigne จาก Threat Analysis Group ของ Google

คำขอบคุณพิเศษ

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Zweig จาก Kunlun Lab

Safari Extensions

เราขอขอบคุณสำหรับความช่วยเหลือจาก Oliver Dunk และ Christian R. จาก 1Password

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนามและ scarlet

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: 11 มีนาคม 2568