Om sikkerhedsindholdet i iOS 15.6 og iPadOS 15.6

I dette dokument beskrives sikkerhedsindholdet i iOS 15.6 og iPadOS 15.6.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 15.6 og iPadOS 15.6

Udgivet 20. juli 2022

APFS

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En fjernbruger kan få adgang til at køre kernekode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2022-32788: Natalie Silvanovich fra Google Project Zero

AppleAVD

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32824: Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2022-32826: Mickey Jin (@patch1t) fra Trend Micro

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2022-42805: Mohamed Ghannam (@_simo36)

Post tilføjet 9. november 2022

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2022-32948: Mohamed Ghannam (@_simo36)

Post tilføjet 9. november 2022

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Post opdateret 9. november 2022

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

CVE-2022-32829: Tingting Yin fra Tsinghua University og Min Zheng fra Ant Group

Post opdateret 16. september 2022

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Audio

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2022-32820: en anonym programmør

Audio

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreMedia

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32828: Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)

CoreText

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En fjernbruger kan få adgang til at udføre uventet applukning eller køre vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32819: Joshua Mason fra Mandiant

GPU Drivers

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Flere out-of-bounds-skriveproblemer blev løst via forbedret kontrol af grænser.

CVE-2022-32793: en anonym programmør

GPU Drivers

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2022-32821: John Aakerblom (@jaakerblom)

Home

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En bruger kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32855: Zitong Wu (吴梓桐) fra Zhuhai No.1 Middle School (珠海市第一中学)

Post opdateret 16. september 2022

iCloud Photo Library

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.

CVE-2022-32849: Joshua Jones

ICU

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs og DNSLab, Korea Univ.

ImageIO

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32841: hjy79425575

ImageIO

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2022-32802: Ivan Fratric fra Google Project Zero, Mickey Jin (@patch1t)

ImageIO

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et skadeligt billede kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem blev løst via forbedret kontrol af grænser.

CVE-2022-32830: Ye Zhang (@co0py_Cat) fra Baidu Security

ImageIO

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret validering.

CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)

IOMobileFrameBuffer

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-26768: En anonym programmør

JavaScriptCore

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

WebKit Bugzilla: 241931

CVE-2022-48503: Dongzhuo Zhao, der arbejder med ADLab fra Venustech, og ZhaoHai fra Cyberpeace Tech Co., Ltd.

Post tilføjet 21. juni 2023

Kernel

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32813: Xinru Chi fra Pangu Lab

CVE-2022-32815: Xinru Chi fra Pangu Lab

Kernel

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Et out-of-bounds-læseproblem blev løst via forbedret kontrol af grænser.

CVE-2022-32817: Xinru Chi fra Pangu Lab

Kernel

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app med mulighed for at læse fra og skrive til kernehukommelsen kan muligvis omgå markørgodkendelse

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Kernel

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app med mulighed for at læse fra og skrive til kernehukommelsen kan muligvis omgå markørgodkendelse

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan forårsage uventet applukning eller kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC of China (nipc.org.cn)

libxml2

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2022-32823

Multi-Touch

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

PluginKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis læse vilkårlige arkiver

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32838: Mickey Jin (@patch1t) fra Trend Micro

Safari Extensions

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Et besøg på et skadeligt websted kan medføre afsløring af følsomme data

Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.

CVE-2022-32784: Young Min Kim fra CompSec Lab på Seoul National University

Software Update

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En bruger med en privilegeret netværksposition kan spore en brugers aktivitet

Beskrivelse: Dette problem er løst ved at bruge HTTPS under afsendelse af oplysninger over netværket.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

WebKit Bugzilla: 241526

CVE-2022-32885: P1umer(@p1umer) og Q1IQ(@q1iqF)

Post tilføjet 16. marts 2023

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-32863: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)

Post tilføjet 16. marts 2023

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre efterligning af brugergrænsefladen

Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.

WebKit Bugzilla: 239316

CVE-2022-32816: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs og DNSLab, Korea Univ.

WebKit

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem er løst via forbedret inputvalidering.

WebKit Bugzilla: 240720

CVE-2022-32792: Manfred Paul (@_manfp) i samarbejde med Trend Micro Zero Day Initiative

WebRTC

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

WebKit Bugzilla: 242339

CVE-2022-2294: Jan Vojtesek fra Avast Threat Intelligence-teamet

Wi-Fi

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2022-32860: Wang Yu fra Cyberserval

Post tilføjet 9. november 2022

Wi-Fi

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32837: Wang Yu fra Cyberserval

Wi-Fi

Fås til: iPhone 6s og nyere modeller, iPad Pro (alle modeller), iPad Air 2 og nyere modeller, iPad 5. generation og nyere modeller, iPad mini 4 og nyere modeller og iPod touch (7. generation)

Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32847: Wang Yu fra Cyberserval

Yderligere anerkendelser

802.1X

Vi vil gerne takke Shin Sun fra National Taiwan University for hjælpen.

AppleMobileFileIntegrity

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.

configd

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 31. oktober 2023