Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
iOS 15.7.2 a iPadOS 15.7.2
Vydáno 13. prosince 2022
AppleAVD
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Parsování škodlivého souboru videa může vést ke spuštění kódu s oprávněními k jádru.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2022-46694: Andrey Labunets a Nikita Tarakanov
AVEVideoEncoder
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2022-42848: ABC Research s.r.o
File System
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-42861: pattern-f (@pattern_F_) z týmu Ant Security Light-Year Lab
Graphics Driver
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Parsování škodlivého souboru videa může vést k nečekanému ukončení systému.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42846: Willy R. Vasquez z Texaské univerzity v Austinu
IOHIDFamily
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2022-42864: Tommy Muir (@Muirey03)
iTunes Store
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Vzdálenému uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Existoval problém v parsování URL adres. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2022-42837: Weijia Dai (@dwj1210) ze společnosti Momo Security
Kernel
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2022-46689: Ian Beer z týmu Google Project Zero
libxml2
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Vzdálenému uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.
CVE-2022-40303: Maddie Stone z Google Project Zero
libxml2
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Vzdálenému uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-40304: Ned Williamson a Nathan Wachholz z Google Project Zero
ppp
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42840: anonymní výzkumník
Preferences
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Aplikaci se může podařit použít libovolná oprávnění.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-42855: Ivan Fratric z týmu Google Project Zero
Safari
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Návštěva webové stránky se škodlivým obsahem může vést k podvržení uživatelského rozhraní.
Popis: Při zpracovávání adres URL mohlo dojít k falšování. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
TCC
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-46718: Michael (Biscuit) Thomas
Záznam přidán 1. května 2023
Weather
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing a anonymní výzkumník
Záznam přidán 16. března 2023
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren a Hang Shu z Institutu výpočetní technologie Čínské akademie věd
Záznam přidán 16. března 2023
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.
Popis: Při zpracovávání adres URL mohlo dojít k falšování. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2022-46705: Hyeon Park (@tree_segment) z týmu ApplePIE
Záznam přidán 16. března 2023
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 245466
CVE-2022-46691: anonymní výzkumník
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení procesní paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42852: hazbinhotel ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Zpracování škodlivého webového obsahu může vést k obejití zásady stejného původu.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß z týmu Google V8 Security
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být aktivně zneužit ve verzích iOS vydaných před iOS 15.1.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy stavu.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne ze skupiny Google Threat Analysis Group