Informace o bezpečnostním obsahu iOS 17 a iPadOS 17
Tento dokument popisuje bezpečnostní obsah iOS 17 a iPadOS 17.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
iOS 17 a iPadOS 17
Vydáno 18. září 2023
Accessibility
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Osobě s fyzickým přístupem k zařízení se může podařit získat pomocí VoiceOveru přístup k soukromým informacím z kalendáře.
Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.
CVE-2023-40529: Abhay Kailasia (@abhay_kailasia) z týmu Lakshmi Narain College of Technology Bhopal
Záznam přidán 22. prosince 2023
Airport
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s oprávněními byl vyřešen vylepšením mazání citlivých údajů.
CVE-2023-40384: Adam M.
App Store
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Vzdálenému útočníkovi se může podařit dostat se ze sandboxu webového obsahu.
Popis: Problém byl vyřešen vylepšením zpracování protokolů.
CVE-2023-40448: w0wbox
Apple Neural Engine
K dispozici pro zařízení s Apple Neural Enginem: iPhone XS a novější, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 8. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) z týmu Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-42871: Mohamed GHANNAM (@_simo36)
Záznam aktualizován 22. prosince 2023
Apple Neural Engine
K dispozici pro zařízení s Apple Neural Enginem: iPhone XS a novější, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 8. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2023-41071: Mohamed Ghannam (@_simo36)
Apple Neural Engine
K dispozici pro zařízení s Apple Neural Enginem: iPhone XS a novější, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 8. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
K dispozici pro zařízení s Apple Neural Enginem: iPhone XS a novější, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 8. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2023-40410: Tim Michaud (@TimGMichaud) z týmu Moveworks.ai
AppleMobileFileIntegrity
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen dalšími kontrolami oprávnění.
CVE-2023-42872: Mickey Jin (@patch1t)
Záznam přidán 22. prosince 2023
AppSandbox
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit získat přístup k přílohám Poznámek.
Popis: Problém byl vyřešen vylepšením omezení přístupu k datovému kontejneru.
CVE-2023-42925: Wojciech Reguła (@_r3ggi) a Kirin (@Pwnrin)
Záznam přidán 16. července 2024
Ask to Buy
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-38612: Chris Ross (Zoom)
Záznam přidán 22. prosince 2023
AuthKit
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2023-32361: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Biometric Authentication
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2023-41232: Liang Wei z týmu PixiePoint Security
Bluetooth
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Útočník ve fyzické blízkosti může způsobit omezený zápis mimo rozsah.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-35984: zer0k
bootp
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-41065: Adam M., Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se nemusí podařit vynutit zabezpečení ATS (App Transport Security).
Popis: Problém byl vyřešen vylepšením zpracování protokolů.
CVE-2023-38596: Will Brattain ze společnosti Trail of Bits
CoreAnimation
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování webového obsahu může vést k odepření služby.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-40420: 이준성 (Junsung Lee) ze společnosti Cross Republic
Core Data
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen odebráním zranitelného kódu.
CVE-2023-40528: Kirin (@Pwnrin) ze společnosti NorthSea
Záznam přidán 22. ledna 2024
Dev Tools
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2023-32396: Mickey Jin (@patch1t)
Face ID
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější a 11palcový iPad Pro 1. generace a novější
Dopad: Pomocí 3D modelu zkonstruovaného tak, aby vypadal jako uživatel, se dalo ošálit ověřování přes Face ID.
Popis: Problém byl vyřešen vylepšením modelů Face ID na ochranu proti podvodům.
CVE-2023-41069: Zhice Yang (ShanghaiTech University)
Záznam přidán 22. prosince 2023
FileProvider
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2023-41980: Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab)
Game Center
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst kontakty.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2023-40395: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
GPU Drivers
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-40431: Tým Certik Skyfall
GPU Drivers
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-40391: Antonio Zekic (@antoniozekic) ze společnosti Dataflow Security
GPU Drivers
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování webového obsahu může vést k odepření služby.
Popis: Problém s vyčerpáním zdrojů byl vyřešen vylepšením ověřování vstupů.
CVE-2023-40441: Ron Masas ze společnosti Imperva
iCloud Photo Library
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikace může získat přístup ke knihovně Fotek uživatele.
Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.
CVE-2023-40434: Mikko Kenttälä (@Turmio_) ze společnosti SensorFu
IOUserEthernet
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-40396: Tým Certik Skyfall
Záznam přidán 16. července 2024
Kernel
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2023-41995: Tým Certik Skyfall, pattern-f (@pattern_F_) z laboratoře Ant Security Light-Year Lab
CVE-2023-42870: Zweig z týmu Kunlun Lab
CVE-2023-41974: Félix Poulin-Bélanger
Záznam aktualizován 22. prosince 2023
Kernel
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Útočník, kterému se podařilo spustit kód jádra, může obejít ochranu paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-41981: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Kernel
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd.
Kernel
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s oprávněními byl vyřešen vylepšením ověřování.
CVE-2023-40429: Michael (Biscuit) Thomas a 张师傅 (@京东蓝军)
Kernel
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Vzdálenému uživateli se může podařit spustit kód na úrovni jádra.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
CVE-2023-41060: Joseph Ravichandran (@0xjprx) z týmu MIT CSAIL
Záznam přidán 22. prosince 2023
libpcap
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Vzdálený uživatel může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2023-40400: Sei K.
libxpc
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikace může být schopna odstranit soubory, pro které nemá oprávnění.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2023-40454: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit získat přístup ke chráněným údajům uživatele.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2023-41073: Zhipeng Huo (@R3dF09) z týmu Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování webového obsahu může vést k odhalení citlivých informací.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) z týmu PK Security
Maps
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2023-40427: Adam M. a Wojciech Regula ze společnosti SecuRing (wojciechregula.blog)
Maps
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2023-42957: Adam M. a Ron Masas ze společnosti BreakPoint Security Research
Záznam přidán 16. července 2024
MobileStorageMounter
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Uživateli se může podařit navýšit oprávnění.
Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.
CVE-2023-41068: Mickey Jin (@patch1t)
Music
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-41986: Gergely Kalman (@gergely_kalman)
Passkeys
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Útočník může být schopen přistupovat k přístupovým klíčům bez ověření.
Popis: Problém byl vyřešen dalšími kontrolami oprávnění.
CVE-2023-40401: weize she a anonymní výzkumník
Záznam přidán 22. prosince 2023
Photos
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikace může získat přístup k upraveným fotkám uloženým v dočasném adresáři.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2023-42949: Kirin (@Pwnrin)
Záznam přidán 16. července 2024
Photos Storage
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikace může získat přístup k upraveným fotkám uloženým v dočasném adresáři.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Photos Storage
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci s kořenovými oprávněními se může podařit získat přístup k soukromým informacím.
Popis: Problém s odhalením informací byl vyřešen odstraněním škodlivého kódu.
CVE-2023-42934: Wojciech Reguła z týmu SecuRing (wojciechregula.blog)
Záznam přidán 22. prosince 2023
Pro Res
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-41063: Tým Certik Skyfall
QuartzCore
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-40422: Tomi Tokics (@tomitokics) z týmu iTomsn0w
Záznam přidán 22. prosince 2023
Safari
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit zjistit, jaké další aplikace má uživatel nainstalované.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-35990: Adriatik Raci z týmu Sentry Cybersecurity
Safari
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Návštěva webové stránky se škodlivým obsahem může vést k podvržení uživatelského rozhraní.
Popis: Problém se správou oken byl vyřešen vylepšením správy stavu.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) ze společnosti Suma Soft Pvt. Ltd, Pune (Indie)
Záznam aktualizován 16. července 2024
Sandbox
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit přepisovat libovolné soubory.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit získat přístup k citlivým údajům zaznamenaným, když uživatel sdílí obsah.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
Siri
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2023-40428: Abhay Kailasia (@abhay_kailasia) z týmu Lakshmi Narain College of Technology Bhopal
StorageKit
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst libovolné soubory.
Popis: Problém byl vyřešen vylepšením ověřování symbolických odkazů.
CVE-2023-41968: Mickey Jin (@patch1t) a James Hutchins
TCC
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) a Csaba Fitzl (@theevilbit) z týmu Offensive Security
WebKit
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) a Dohyun Lee (@l33d0hyun) z týmu PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Záznam aktualizován 22. prosince 2023
WebKit
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성 (Junsung Lee) z Cross Republic a Jie Ding (@Lime) z týmu HKUS3 Lab
Záznam aktualizován 22. prosince 2023
WebKit
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) a Jong Seong Kim (@nevul37) z AbyssLab, zhunki
Záznam aktualizován 22. ledna 2024
WebKit
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Heslo uživatele může být přečteno nahlas pomocí VoiceOveru.
Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
Záznam přidán 22. prosince 2023
WebKit
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Vzdálenému útočníkovi se může podařit zobrazit uniklé dotazy DNS, pokud je zapnutý Soukromý přenos.
Popis: Problém byl vyřešen odebráním zranitelného kódu.
WebKit Bugzilla: 257303
CVE-2023-40385: anonym
Záznam přidán 22. prosince 2023
WebKit
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.
Popis: Problém se správností byl vyřešen vylepšením kontrol.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) a Jong Seong Kim (@nevul37) z AbyssLab
Záznam přidán 22. prosince 2023
Wi-Fi
K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Problém s poškozením paměti byl vyřešen odstraněním zranitelného kódu.
CVE-2023-38610: Wang Yu z Cyberservalu
Záznam přidán 22. prosince 2023
Další poděkování
Accessibility
Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology, Bhopal v Indii.
Záznam aktualizován 16. července 2024
Airport
Poděkování za pomoc zaslouží Adam M., Noah Roskin-Frazee a profesor Jason Lau (ZeroClicks.ai Lab).
Apple Neural Engine
Poděkování za pomoc zaslouží pattern-f (@pattern_F_) z týmu Ant Security Light-Year Lab.
Záznam přidán 22. prosince 2023
AppSandbox
Poděkování za pomoc zaslouží Kirin (@Pwnrin).
Audio
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
Bluetooth
Poděkování za pomoc zaslouží Jianjun Dai a Guang Gong z týmu 360 Vulnerability Research Institute.
Books
Poděkování za pomoc zaslouží Aapo Oksman z týmu Nixu Cybersecurity.
Control Center
Poděkování za pomoc zaslouží Chester van den Bogaard.
CoreMedia Playback
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
Data Detectors UI
Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Draco
Poděkování za pomoc zaslouží David Coomber.
Find My
Poděkování za pomoc zaslouží Cher Scarlett.
Home
Poděkování za pomoc zaslouží Jake Derouin (jakederouin.com).
IOUserEthernet
Poděkování za pomoc zaslouží tým Certik Skyfall.
Záznam přidán 22. prosince 2023
Kernel
Poděkování za pomoc zaslouží Bill Marczak z týmu The Citizen Lab z Munkovy fakulty Torontské univerzity a Maddie Stone z týmu Google Threat Analysis Group a 永超 王.
Keyboard
Poděkování za pomoc zaslouží anonymní výzkumník.
libxml2
Poděkování za pomoc zaslouží OSS-Fuzz a Ned Williamson z týmu Google Project Zero.
libxpc
Poděkování za pomoc zaslouží anonymní výzkumník.
libxslt
Poděkování za pomoc zaslouží Dohyun Lee (@l33d0hyun) z týmu PK Security, OSS-Fuzz a Ned Williamson z týmu Google Project Zero.
Menus
Poděkování za pomoc zaslouží Matthew Denton z týmu Google Chrome Security.
Záznam přidán 22. prosince 2023
Poznámky
Poděkování za pomoc zaslouží Lucas-Raphael Müller.
Notifications
Poděkování za pomoc zaslouží Jiaxu Li.
NSURL
Poděkování za pomoc zaslouží Zhanpeng Zhao (行之) a 糖豆爸爸 (@晴天组织).
Password Manager
Poděkování za pomoc zaslouží Hidetoshi Nakamura.
Photos
Poděkování za pomoc zaslouží Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius a Paul Lurin.
Záznam aktualizován 16. července 2024
Power Services
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
Quick Look
Poděkování za pomoc zaslouží 이준성(Junsung Lee) ze společnosti Cross Republic.
Záznam přidán 22. prosince 2023
Safari
Poděkování za pomoc zaslouží Kang Ali z týmu Punggawa Cyber Security a Andrew James Gonzalez.
Safari Private Browsing
Poděkování za pomoc zaslouží Khiem Tran, Narendra Bhati ze společnosti Suma Soft Pvt. Ltd. a anonymní výzkumník.
Shortcuts
Poděkování za pomoc zaslouží Alfie CG, Christian Basting z týmu Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca ze Střední školy informatiky Tudora Vianu v Rumunsku, Giorgos Christodoulidis, Jubaer Alnazi z TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) a Matthew Butler.
Záznam aktualizován 24. dubna 2024
Siri
Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Software Update
Poděkování za pomoc zaslouží Omar Siman.
Spotlight
Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal a Dawid Pałuska.
Standby
Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Status Bar
Poděkování za pomoc zaslouží N a anonymní výzkumník.
StorageKit
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
Weather
Poděkování za pomoc zaslouží Wojciech Regula ze společnosti SecuRing (wojciechregula.blog).
Záznam přidán 22. prosince 2023
WebKit
Poděkování za pomoc zaslouží Khiem Tran, Narendra Bhati ze společnosti Suma Soft Pvt. Ltd. a anonymní výzkumník.
WebRTC
Poděkování za pomoc zaslouží anonymní výzkumník.
Wi-Fi
Poděkování za pomoc zaslouží Wang Yu z týmu Cyberserval.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.