เกี่ยวกับเนื้อหาด้านความปลอดภัยของ tvOS 15.6
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ tvOS 15.6
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
tvOS 15.6
APFS
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้เกิดการใช้โค้ดที่มีสิทธิ์เคอร์เนลได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32788: Natalie Silvanovich จาก Google Project Zero
AppleAVD
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32824: Antonio Zekic (@antoniozekic) และ John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32826: Mickey Jin (@patch1t) จาก Trend Micro
Audio
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-32820: นักวิจัยที่ไม่เปิดเผยชื่อ
Audio
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32828: Antonio Zekic (@antoniozekic) และ John Aakerblom (@jaakerblom)
CoreText
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: ผู้โจมตีระยะไกลอาจเป็นเหตุให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจสามารถเข้าถึงสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32819: Joshua Mason จาก Mandiant
GPU Drivers
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการเขียนข้อมูลนอกขอบเขตหลายรายการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดีขึ้น
CVE-2022-32793: นักวิจัยที่ไม่เปิดเผยชื่อ
GPU Drivers
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32821: John Aakerblom (@jaakerblom)
iCloud Photo Library
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ได้
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วโดยการลบโค้ดที่มีความเสี่ยง
CVE-2022-32849: Joshua Jones
ICU
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32787: Dohyun Lee (@l33d0hyun) จาก SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32841: hjy79425575
ImageIO
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32802: Ivan Fratric จาก Google Project Zero, Mickey Jin (@patch1t)
ImageIO
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32830: Ye Zhang (@co0py_Cat) จาก Baidu Security
JavaScriptCore
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ดียิ่งขึ้น
CVE-2022-48503: Dongzhuo Zhao ที่ทํางานร่วมกับ ADLab จาก Venustech และ ZhaoHai จาก Cyberpeace Tech Co., Ltd.
Kernel
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปที่มีสิทธิ์ระดับรูทอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32813: Xinru Chi จาก Pangu Lab
CVE-2022-32815: Xinru Chi จาก Pangu Lab
Kernel
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจเปิดเผยหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2022-32817: Xinru Chi จาก Pangu Lab
Kernel
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปที่มีความสามารถในการอ่านและการเขียนข้อมูลเคอร์เนลโดยพลการอาจบายพาสการตรวจสอบตัวชี้ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจเป็นเหตุให้แอปหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยพลการ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC of China (nipc.org.cn)
libxml2
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2022-32823
Multi-Touch
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจสั่งให้โค้ดทำงานโดยพลการภายใต้สิทธิ์เคอร์เนล
คำอธิบาย: ปัญหาความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: ผู้ใช้ในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถติดตามกิจกรรมของผู้ใช้ได้
คำอธิบาย: ปัญหาได้รับการแก้ไขโดยการใช้ HTTPS เมื่อส่งข้อมูลผ่านเครือข่าย
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) และ xmzyshypnc(@xmzyshypnc1)
WebKit
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: การเข้าเว็บไซต์ที่มีเนื้อหาประสงค์ร้ายอาจทำให้เกิดการปลอมแปลง UI
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการ UI ให้ดียิ่งขึ้น
CVE-2022-32816: Dohyun Lee (@l33d0hyun) จาก SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2022-32792: Manfred Paul (@_manfp) ทำงานร่วมกับโครงการ Trend Micro Zero Day Initiative
Wi-Fi
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: แอปอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือมีการเขียนข้อมูลหน่วยความจำเคอร์เนล
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32837: Wang Yu จาก Cyberserval
Wi-Fi
มีให้สำหรับ: Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD
ผลกระทบ: ผู้ใช้ระยะไกลอาจทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2022-32847: Wang Yu จาก Cyberserval
คำขอบคุณพิเศษ
802.1X
เราขอขอบคุณความช่วยเหลือจาก Shin Sun จาก National Taiwan University
AppleMobileFileIntegrity
เราขอขอบคุณความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security, Mickey Jin (@patch1t) จาก Trend Micro และ Wojciech Reguła (@_r3ggi) จาก SecuRing
configd
เราขอขอบคุณความช่วยเหลือจาก Csaba Fitzl (@theevilbit) จาก Offensive Security, Mickey Jin (@patch1t) จาก Trend Micro และ Wojciech Reguła (@_r3ggi) จาก SecuRing
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม