Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
iOS 16
Vydáno 12. září 2022
Accelerate Framework
Dostupné pro: iPhone 8 a novější
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2022-42795: ryuzaki
Záznam přidán 27. října 2022
AppleAVD
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich z týmu Google Project Zero a anonymní výzkumník
Záznam přidán 27. října 2022
AppleAVD
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-32907: Natalie Silvanovich z týmu Google Project Zero, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom), ABC Research s.r.o., Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Záznam přidán 27. října 2022
AppleMobileFileIntegrity
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing
Záznam přidán 16. března 2023
Apple Neural Engine
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Záznam přidán 27. října 2022
Apple Neural Engine
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Záznam přidán 27. října 2022
Apple TV
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2022-32909: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam přidán 27. října 2022
Contacts
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-32854: Holger Fuhrmannek ze společnosti Deutsche Telekom Security
Crash Reporter
Dostupné pro: iPhone 8 a novější
Dopad: Uživateli s fyzickým přístupem k iOS zařízení se může podařit číst starší diagnostické protokoly.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-32867: Kshitij Kumar a Jai Musunuri ze společnosti Crowdstrike
Záznam přidán 27. října 2022
DriverKit
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32865: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Záznam přidán 27. října 2022
Exchange
Dostupné pro: iPhone 8 a novější
Dopad: Uživateli s vysokými oprávněními v síti se může podařit zachytit přihlašovací údaje k e-mailu.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) ze společnosti Check Point Research
Záznam přidán 27. října 2022, aktualizován 16. března 2023
FaceTime
Dostupné pro: iPhone 8 a novější
Dopad: Uživatel může ve skupinových FaceTime hovorech odesílat zvuk a video, aniž by si toho byl vědom.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-22643: Sonali Luthar z Virginijské univerzity, Michael Liao z Univerzity Illinois v Urbana-Champaign, Rohan Pahwa z Rutgersovy univerzity a Bao Nguyen z Floridské univerzity
Záznam přidán 16. března 2023
GPU Drivers
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Několik problémů se zápisem mimo rozsah bylo vyřešeno vylepšením kontroly rozsahu.
CVE-2022-32793: anonymní výzkumník
Záznam přidán 16. března 2023
GPU Drivers
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-26744: anonymní výzkumník
Záznam přidán 27. října 2022
GPU Drivers
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-32903: anonymní výzkumník
Záznam přidán 27. října 2022
ImageIO
Dostupné pro: iPhone 8 a novější
Dopad: Zpracování obrázku může vést k odepření služby.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.
CVE-2022-1622
Záznam přidán 27. října 2022
Image Processing
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci v sandboxu se může podařit zjistit, která aplikace momentálně používá kameru.
Popis: Problém byl vyřešen přidáním dalších omezení k viditelnosti stavů aplikací.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Záznam přidán 27. října 2022
IOGPUFamily
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32887: anonymní výzkumník
Záznam přidán 27. října 2022
Kernel
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Existoval problém se čtením mimo rozsah, který vedl k odhalení paměti jádra. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2022-32916: Pan ZhenPeng ze společnosti STAR Labs SG Pte. Ltd.
Záznam přidán 9. listopadu 2022
Kernel
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-32914: Zweig z týmu Kunlun Lab
Záznam přidán 27. října 2022
Kernel
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32866: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig z týmu Kunlun Lab
Záznam aktualizován 27. října 2022
Kernel
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-32864: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Kernel
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32917: anonymní výzkumník
Maps
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
Dostupné pro: iPhone 8 a novější
Dopad: Uživateli se může podařit navýšit oprávnění.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2022-32908: anonymní výzkumník
Notifications
Dostupné pro: iPhone 8 a novější
Dopad: Uživateli s fyzickým přístupem k zařízení se může podařit dostat se ze zamknuté obrazovky ke kontaktům.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32879: Ubeydullah Sümer
Záznam přidán 27. října 2022
Photos
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-32918: Ashwani Rajput ze společnosti Nagarro Software Pvt. Ltd, Srijan Shivam Mishra ze společnosti The Hack Report, Jugal Goradia ze společnosti Aastha Technologies, Evan Ricafort (evanricafort.com) ze společnosti Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan z Púne v Indii.
Záznam přidán 27. října 2022, aktualizován 16. března 2023
Safari
Dostupné pro: iPhone 8 a novější
Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-32795: Narendra Bhati ze společnosti Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari Extensions
Dostupné pro: iPhone 8 a novější
Dopad: Webové stránce se může podařit sledovat uživatele prostřednictvím webových rozšíření Safari.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Sandbox
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32881: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Záznam přidán 27. října 2022
Security
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit obejít kontroly podpisu kódu.
Popis: Problém v ověřování podpisů kódu byl vyřešen vylepšením kontrol.
CVE-2022-42793: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Záznam přidán 27. října 2022
Shortcuts
Dostupné pro: iPhone 8 a novější
Dopad: Osobě s fyzickým přístupem k iOS zařízení se může podařit dostat se ze zamčené obrazovky k fotkám.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32872: Elite Tech Guru
Sidecar
Dostupné pro: iPhone 8 a novější
Dopad: Uživateli se může podařit zobrazit omezený obsah na zamčené obrazovce.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-42790: Om kothawade ze společnosti Zaprico Digital
Záznam přidán 27. října 2022
Siri
Dostupné pro: iPhone 8 a novější
Dopad: Osobě s fyzickým přístupem k zařízení se může podařit získat pomocí Siri přístup k soukromým informacím z kalendáře.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-32871: Amit Prajapat ze společnosti Payatu Security Consulting Private Limited
Záznam přidán 16. března 2023
Siri
Dostupné pro: iPhone 8 a novější
Dopad: Uživateli s fyzickým přístupem k zařízení se může podařit použít Siri k získání některých informací o historii volání.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32870: Andrew Goldberg z fakulty McCombs School of Business Texaské univerzity v Austinu (linkedin.com/andrew-goldberg-/)
Záznam přidán 27. října 2022
Software Update
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2022-42791: Mickey Jin (@patch1t) ze společnosti Trend Micro
Záznam přidán 9. listopadu 2022
SQLite
Dostupné pro: iPhone 8 a novější
Dopad: Vzdálenému uživateli se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2021-36690
Záznam přidán 27. října 2022
Time Zone
Dostupné pro: iPhone 8 a novější
Dopad: Smazané kontakty se můžou stále zobrazovat ve výsledcích vyhledávání Spotlightu
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32859
Záznam přidán 27. října 2022
Watch app
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit přečíst trvalý identifikátor zařízení.
Popis: Problém byl vyřešen vylepšením oprávnění.
CVE-2022-32835: Guilherme Rambo z týmu Best Buddy Apps (rambo.codes)
Záznam přidán 27. října 2022
Weather
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-32875: anonymní výzkumník
Záznam přidán 27. října 2022
WebKit
Dostupné pro: iPhone 8 a novější
Dopad: Neoprávněnému uživateli se může podařit získat přístup k historii procházení.
Popis: Existoval problém v souborových cestách, které se používají k ukládání dat webových stránek. Problém byl vyřešen vylepšením toho, jak se data webových stránek ukládají.
CVE-2022-32833: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security, Jeff Johnson
Záznam přidán 9. listopadu 2022
WebKit
Dostupné pro: iPhone 8 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Záznam přidán 27. října 2022
WebKit
Dostupné pro: iPhone 8 a novější
Dopad: Návštěva webové stránky se škodlivým obsahem může vést k podvržení uživatelského rozhraní.
Popis: Problém byl vyřešen vylepšením zpracování uživatelského rozhraní.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 a anonymní výzkumník
Záznam přidán 27. října 2022
WebKit
Dostupné pro: iPhone 8 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Dostupné pro: iPhone 8 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) z Theori ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit Sandboxing
Dostupné pro: iPhone 8 a novější
Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.
Popis: Problém s přístupem byl vyřešen vylepšením sandboxu.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 a @jq0904 z týmu WeBin Lab společnosti DBAppSecurity
Záznam přidán 27. října 2022
Wi-Fi
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-46709: Wang Yu z Cyberservalu
Záznam přidán 16. března 2023
Wi-Fi
Dostupné pro: iPhone 8 a novější
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-32925: Wang Yu z Cyberservalu
Záznam přidán 27. října 2022
Další poděkování
AirDrop
Poděkování za pomoc zaslouží Alexander Heinrich, Milan Stute a Christian Weinert z Technické univerzity v Darmstadtu.
Záznam přidán 27. října 2022
AppleCredentialManager
Poděkování za pomoc zaslouží @jonathandata1.
Záznam přidán 27. října 2022
Calendar UI
Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Záznam přidán 27. října 2022
CoreGraphics
Poděkování za pomoc zaslouží Simon de Vegt.
Záznam přidán 9. listopadu 2022
FaceTime
Poděkování za pomoc zaslouží anonymní výzkumník.
Záznam přidán 27. října 2022
Find My
Poděkování za pomoc zaslouží anonymní výzkumník.
Záznam přidán 27. října 2022
Game Center
Poděkování za cennou pomoc zaslouží Joshua Jones.
iCloud
Poděkování za pomoc zaslouží Bülent Aytulun a anonymní výzkumník.
Záznam přidán 27. října 2022
Identity Services
Poděkování za cennou pomoc zaslouží Joshua Jones.
Kernel
Poděkování za pomoc zaslouží Pan ZhenPeng(@Peterpan0927), Tingting Yin of Tsinghua University, a Min Zheng z týmu Ant Group a anonymní výzkumník.
Záznam přidán 27. října 2022
Poděkování za pomoc zaslouží anonymní výzkumník.
Záznam přidán 27. října 2022
Notes
Poděkování za pomoc zaslouží Edward Riley ze společnosti Iron Cloud Limited (ironclouduk.com).
Záznam přidán 27. října 2022
Photo Booth
Poděkování za pomoc zaslouží Prashanth Kannan ze společnosti Dremio.
Záznam přidán 27. října 2022
Safari
Poděkování za pomoc zaslouží Scott Hatfield ze společnosti Sub-Zero Group.
Záznam přidán 16. března 2023
Sandbox
Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) z týmu Offensive Security.
Záznam přidán 27. října 2022
Shortcuts
Poděkování za pomoc zaslouží Shay Dror.
Záznam přidán 27. října 2022
SOS
Poděkování za pomoc zaslouží Xianfeng Lu a Lei Ai ze společnosti OPPO Amber Security Lab.
Záznam přidán 27. října 2022
UIKit
Poděkování za pomoc zaslouží Aleczander Ewing, Simon de Vegt a anonymní výzkumník.
Záznam přidán 27. října 2022
WebKit
Poděkování za pomoc zaslouží anonymní výzkumník.
Záznam přidán 27. října 2022
WebRTC
Poděkování za pomoc zaslouží anonymní výzkumník.
Záznam přidán 27. října 2022