Om sikkerhedsindholdet i iOS 17.2 og iPadOS 17.2
I dette dokument beskrives sikkerhedsindholdet i iOS 17.2 og iPadOS 17.2.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
iOS 17.2 og iPadOS 17.2
Udgivet 11. december 2023
Accessibility
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-42937: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)
Post tilføjet 22. januar 2024
Accounts
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et problem blev løst med forbedret håndtering af midlertidige arkiver.
CVE-2023-42896: Mickey Jin (@patch1t)
Post tilføjet 22. marts 2024
AVEVideoEncoder
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret bortredigering af følsomme oplysninger.
CVE-2023-42884: en anonym programmør
Bluetooth
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker i en privilegeret netværksposition kan muligvis indsætte tastetryk ved at efterligne et tastatur
Beskrivelse: Problemet er løst ved forbedrede kontroller.
CVE-2023-45866: Marc Newlin fra SkySafe
Post tilføjet 11. december 2023
Bluetooth
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker i en privilegeret netværksposition kan muligvis udføre et DoS-angreb (Denial-of-Service) ved hjælp af skadelige Bluetooth-pakker
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-42941: Christopher Reynolds
Post tilføjet 10. januar 2024
CallKit
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker kan muligvis fremkalde et DoS-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol
CVE-2023-42962: Aymane Chabat
Post tilføjet 22. marts 2024
Find My
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Problemet er løst ved forbedret redigering af følsomme oplysninger.
CVE-2023-42922: Wojciech Regula fra SecuRing (wojciechregula.blog)
ImageIO
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et billede kan medføre afvikling af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-42898: Zhenjiang Zhao fra Pangu Team, Qianxin og Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM og Junsung Lee
Post opdateret 22. marts 2024
ImageIO
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-42888: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative
Post tilføjet 22. januar 2024
IOUSBDeviceFamily
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
Post opdateret 22. marts 2024
Kernel
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv)
Libsystem
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis få adgang til beskyttede brugerdata
Beskrivelse: Et problem med tilladelser blev løst ved at fjerne sårbar kode og tilføje yderligere kontrol.
CVE-2023-42893
Post tilføjet 22. marts 2024
Safari Private Browsing
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Private browsing-faner kan tilgås uden godkendelse
Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2023-42923: ARJUN S D
Sandbox
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst ved forbedret bortredigering af følsomme oplysninger.
CVE-2023-42936: Csaba Fitzl (@theevilbit) fra OffSec
Post tilføjet 22. marts 2024 og opdateret 16. juli 2024
Siri
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata
Beskrivelse: Problemet er løst ved forbedrede kontroller.
CVE-2023-42897: Andrew Goldberg fra The McCombs School of Business, University of Texas i Austin (linkedin.com/andrew-goldberg-/)
TCC
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2023-42947: Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong
Post tilføjet 22. marts 2024
Transparency
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst med forbedret begrænsning af adgangen til databeholdere.
CVE-2023-40389: Csaba Fitzl (@theevilbit) fra Offensive Security og Joshua Jewett (@JoshJewett33)
Post tilføjet 16. juli 2024
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et billede kan føre til DoS-angreb
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute og rushikesh nandedkar
Post tilføjet 22. marts 2024
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af webindhold kan føre til DoS-angreb
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Post tilføjet 22. marts 2024
Yderligere anerkendelser
Safari Private Browsing
Vi vil gerne takke Joshua Lund fra Signal Technology Foundation og Iakovos Gurulian for hjælpen.
Post opdateret 22. marts 2024
Setup Assistant
Vi vil gerne takke Aaron Gregory fra Acoustic.com og Eastern Illinois University – Graduate School of Technology for hjælpen.
WebKit
Vi vil gerne takke 椰椰 for hjælpen.
WebSheet
Vi vil gerne takke Paolo Ruggero fra e-phors S.p.A. (A FINCANTIERI S.p.A. Company) for hjælpen.
Post tilføjet 22. marts 2024
Wi-Fi
Vi vil gerne takke Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab) for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.