Apple vient de publier une nouvelle version de son système d’exploitation, estampillée 15.3, pour les iPhone, iPad, Apple Watch, Mac et Apple TV.
Comme à chaque mise à jour venant de la marque de la pomme, nous nous intéresserons plus particulièrement dans cet article à l’Apple TV puisque celle-ci est disponible en option Multi-TV pour les abonnés Freebox.
Au menu de cette mise à jour, que des corrections de failles de sécurité, aucune nouveauté annoncée:
- ColorSync
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement d’un fichier malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire a été résolu avec une validation améliorée.
CVE-2022-22584 : Mickey Jin (@patch1t) de Trend Micro
- Crash Reporter
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : une application malveillante peut être en mesure d’obtenir des privilèges root
Description : un problème de logique a été résolu avec une validation améliorée.
CVE-2022-22578 : un chercheur anonyme
- iCloud (en anglais)
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : une application peut être en mesure d’accéder aux fichiers d’un utilisateur.
Description : un problème existait dans la logique de validation du chemin d’accès pour les liens symboliques. Ce problème a été résolu par une amélioration de l’assainissement des sentiers.
CVE-2022-22585 : Zhipeng Huo (@R3dF09) de Tencent Security Xuanwu Lab (https://xlab.tencent.com)
- Noyau
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges de noyau.
Description : un problème de débordement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.
CVE-2022-22593 : Peter Nguyễn Vũ Hoàng de STAR Labs
- E/S du modèle
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement d’un fichier STL malveillant peut entraîner la fermeture inattendue de l’application ou l’exécution arbitraire de code.
Description : un problème de divulgation d’informations a été résolu par une meilleure gestion de l’État.
CVE-2022-22579 : Mickey Jin (@patch1t) de Trend Micro
- WebKit
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement de contenu Web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème d’utilisation après libération a été résolu avec une meilleure gestion de la mémoire.
CVE-2022-22590 : Toan Pham de l’équipe Orca of Sea Security (security.sea.com)
- WebKit
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement de contenu Web malveillant peut empêcher l’application de la stratégie de sécurité du contenu.
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2022-22592 : Prakash (@1lastBr3ath)
- WebKit
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : le traitement d’un message électronique malveillant peut entraîner l’exécution arbitraire de javascript.
Description : un problème de validation a été résolu par une amélioration de la désinfection des entrées.
CVE-2022-22589 : Heige de l’équipe KnownSec 404 (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)
- Stockage WebKit
Disponible pour : Apple TV 4K et Apple TV HD
Conséquence : un site Web peut être en mesure de suivre les informations sensibles des utilisateurs.
Description : un problème d’origine croisée dans l’API IndexDB a été résolu par une meilleure validation des entrées.
CVE-2022-22594 : Martin Bajanik de FingerprintJS
Source : Support Apple