Om sikkerhedsindholdet i iOS 16.6 og iPadOS 16.6
I dette dokument beskrives sikkerhedsindholdet i iOS 16.6 og iPadOS 16.6.
Om Apple-sikkerhedsopdateringer
Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
iOS 16.6 og iPadOS 16.6
Udgivet 24. juli 2023
Tilgængelighed
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.
CVE-2023-40442: Nick Brook
Post tilføjet 31. oktober 2023
Accounts
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.
CVE-2023-40439: Kirin (@Pwnrin)
Post tilføjet 31. oktober 2023
Apple Neural Engine
Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-34425: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
CVE-2023-38136: Mohamed GHANNAM (@_simo36)
CVE-2023-38580: Mohamed GHANNAM (@_simo36)
Post opdateret 31. oktober 2023
CFNetwork
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.
CVE-2023-40392: Wojciech Regula fra SecuRing (wojciechregula.blog)
Post tilføjet 31. oktober 2023
Find
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.
CVE-2023-40437: Kirin (@Pwnrin) og Wojciech Regula fra SecuRing (wojciechregula.blog)
Post tilføjet 31. oktober 2023
Find
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2023-32416: Wojciech Regula fra SecuRing (wojciechregula.blog)
ImageIO
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-3970: Fundet af OSS-Fuzz
Post tilføjet 31. oktober 2023
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen
Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.
CVE-2023-38590: Zweig fra Kunlun Lab
Post tilføjet 27. juli 2023
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Post tilføjet 27. juli 2023
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2023-36495: 香农的三蹦子 fra Pangu Lab
Post tilføjet 27. juli 2023
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2023-38604: En anonym programmør
Post tilføjet 27. juli 2023
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs SG Pte. Ltd.
CVE-2023-38261: En anonym programmør
CVE-2023-38424: Certik Skyfall Team
CVE-2023-38425: Certik Skyfall Team
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis ændre en følsom kernestatus. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 15.7.1.
Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.
CVE-2023-32381: En anonym programmør
CVE-2023-32433: Zweig fra Kunlun Lab
CVE-2023-35993: Kaitao Xie og Xiaolong Bai fra Alibaba Group
CVE-2023-41995: Certik Skyfall Team, pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Post opdateret 31. oktober 2023
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En bruger kan muligvis opnå flere rettigheder
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2023-38410: En anonym programmør
Kernel
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2023-38603: Zweig fra Kunlun Lab
libpcap
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En fjernbruger kan få adgang til at udføre uventet applukning eller køre vilkårlig kode
Beskrivelse: Problemet er løst via forbedret kontrol.
CVE-2023-40400: Sei K.
Post tilføjet 31. oktober 2023
libxpc
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2023-38565: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Et logikproblem er løst via forbedret kontrol.
CVE-2023-38593: Noah Roskin-Frazee
Logging
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst via forbedret godkendelse af miljøvariabler.
CVE-2023-40394: Wojciech Regula fra SecuRing (wojciechregula.blog)
Post tilføjet 31. oktober 2023
NSURLSession
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst ved forbedringer af arkivhåndteringsprotokollen.
CVE-2023-32437: Thijs Alkemade fra Computest Sector 7
Weather
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En app kan muligvis bestemme en brugers aktuelle lokalitet
Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.
CVE-2023-38605: Adam M.
Post tilføjet 31. oktober 2023
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: En ekstern hacker kan muligvis forårsage kørsel af vilkårlig javascript-kode
Beskrivelse: Problemet er løst via forbedrede kontroller.
WebKit Bugzilla: 257824
CVE-2023-40397: Johan Carlsson (joaxcar)
Post tilføjet 31. oktober 2023
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Et websted kan potentielt spore følsomme brugeroplysninger
Beskrivelse: Et logikproblem er løst via forbedret statusadministration.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin og Yuval Yarom
Post tilføjet 27. juli 2023
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af dokument kan føre til scriptingangreb på tværs af websteder
Beskrivelse: Problemet er løst via forbedret kontrol.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Post tilføjet 27. juli 2023
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – Indien samt Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina og Lorenzo Veronese fra TU Wien
Post tilføjet 27. juli 2023
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Et websted kan muligvis omgå politikken om samme oprindelse
Beskrivelse: Problemet er løst via forbedrede kontroller.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – Indien
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst via forbedrede kontroller.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Bugzilla: 256573
CVE-2023-38595: En anonym programmør, Jiming Wang og Jikai Ren
WebKit Bugzilla: 257387
CVE-2023-38600: Anonym, der arbejder med Trend Micros Zero Day Initiative
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af webindhold kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Problemet er løst via forbedrede kontroller.
WebKit Bugzilla: 259231
CVE-2023-37450: En anonym programmør
Dette problem blev første gang behandlet i Hurtig sikkerhedsopdatering iOS 16.5.1 (c) og iPadOS 16.5.1 (c).
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) og Junsung Lee
Post tilføjet 21. december 2023
WebKit Process Model
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst via forbedrede kontroller.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) fra Cross Republic
WebKit
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse
Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 255951
CVE-2023-43000: Apple
Post tilføjet 11. november 2025
WebKit Web Inspector
Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere
Effekt: Behandling af webindhold kan afsløre følsomme oplysninger
Beskrivelse: Problemet er løst via forbedrede kontroller.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Yderligere anerkendelser
Vi vil gerne takke Parvez Anwar for hjælpen.
Screenshots
Vi vil gerne takke Dametto Luca, Casati Jacopo, Eric Williams (@eric5310pub) og Yannik Bloscheck (yannikbloscheck.com) for hjælpen.
Post tilføjet 31. oktober 2023
WebKit
Vi vil gerne takke Narendra Bhati (@imnarendrabhati) fra Suma Soft Pvt. Ltd. i Indien for hjælpen.
Post tilføjet 31. oktober 2023
WebKit
Vi vil gerne takke Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – Indien for hjælpen.
Post tilføjet 27. juli 2023
WebRTC
Vi vil gerne takke en anonym programmør for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.