Om sikkerhedsindholdet i iOS 16

I dette dokument beskrives sikkerhedsindholdet i iOS 16.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 16

Udgivet 12. september 2022

Accelerate Framework

Tilgængelig til: iPhone 8 og nyere

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.

CVE-2022-42795: ryuzaki

Post tilføjet 27. oktober 2022

AppleAVD

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich fra Google Project Zero og en anonym programmør

Post tilføjet 27. oktober 2022

AppleAVD

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32907: Natalie Silvanovich fra Google Project Zero, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Post tilføjet 27. oktober 2022

AppleMobileFileIntegrity

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) fra SecuRing

Post tilføjet 16. marts 2023

Apple Neural Engine

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Post tilføjet 27. oktober 2022

Apple Neural Engine

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Post tilføjet 27. oktober 2022

Apple TV

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2022-32909: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 27. oktober 2022

Contacts

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32854: Holger Fuhrmannek fra Deutsche Telekom Security

Crash Reporter

Tilgængelig til: iPhone 8 og nyere

Effekt: En bruger med fysisk adgang til en iOS-enhed kan muligvis læse tidligere diagnosticeringslogarkiver

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2022-32867: Kshitij Kumar og Jai Musunuri fra Crowdstrike

Post tilføjet 27. oktober 2022

DriverKit

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32865: Linus Henze fra Pinauten GmbH (pinauten.de)

Post tilføjet 27. oktober 2022

Exchange

Tilgængelig til: iPhone 8 og nyere

Effekt: En bruger i en privilegeret netværksposition kan muligvis opfange loginoplysninger til e-mailkonti

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) fra Check Point Research

Post tilføjet 27. oktober 2022, opdateret 16. marts 2023

FaceTime

Tilgængelig til: iPhone 8 og nyere

Effekt: En bruger kan sende lyd og video i et FaceTime-opkald uden at være klar over det

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-22643: Sonali Luthar fra University of Virginia, Michael Liaof fra University of Illinois i Urbana-Champaign, Rohan Pahwa fra Rutgers University og Bao Nguyen fra University of Florida

Post tilføjet 16. marts 2023

GPU Drivers

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Flere out-of-bounds-skriveproblemer blev løst via forbedret kontrol af grænser.

CVE-2022-32793: en anonym programmør

Post tilføjet 16. marts 2023

GPU Drivers

Tilgængelig til: iPhone 8 og nyere

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-26744: en anonym programmør

Post tilføjet 27. oktober 2022

GPU Drivers

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-32903: en anonym programmør

Post tilføjet 27. oktober 2022

ImageIO

Tilgængelig til: iPhone 8 og nyere

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Et DoS-problem er løst via forbedret godkendelse.

CVE-2022-1622

Post tilføjet 27. oktober 2022

Image Processing

Tilgængelig til: iPhone 8 og nyere

Effekt: En sandbox-app kan muligvis se, hvilken app der i øjeblikket bruger kameraet

Beskrivelse: Problemet blev løst via yderligere begrænsninger for observerbarhed af apptilstande.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Post tilføjet 27. oktober 2022

IOGPUFamily

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32887: en anonym programmør

Post tilføjet 27. oktober 2022

Kernel

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.

CVE-2022-32916: Pan ZhenPeng fra STAR Labs SG Pte. Ltd.

Post tilføjet 9. november 2022

Kernel

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-32914: Zweig fra Kunlun Lab

Post tilføjet 27. oktober 2022

Kernel

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32866: Linus Henze fra Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig fra Kunlun Lab

Post opdateret 27. oktober 2022

Kernel

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)

Kernel

Tilgængelig til: iPhone 8 og nyere

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder.

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2022-32917: En anonym programmør

Maps

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2022-32883: Ron Masas, breakpointhq.com

MediaLibrary

Tilgængelig til: iPhone 8 og nyere

Effekt: En bruger kan muligvis opnå flere rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2022-32908: En anonym programmør

Notifications

Tilgængelig til: iPhone 8 og nyere

Effekt: En bruger med fysisk adgang til en enhed kan muligvis få adgang til kontakter fra låseskærmen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32879: Ubeydullah Sümer

Post tilføjet 27. oktober 2022

Photos

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2022-32918: Ashwani Rajput fra Nagarro Software Pvt. Ltd, Srijan Shivam Mishra fra The Hack Report, Jugal Goradia fra Aastha Technologies, Evan Ricafort (evanricafort.com) fra Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan fra Pune, Indien

Post tilføjet 27. oktober 2022, opdateret 16. marts 2023

Safari

Tilgængelig til: iPhone 8 og nyere

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-32795: Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari Extensions

Tilgængelig til: iPhone 8 og nyere

Effekt: Et websted kan muligvis spore brugere via Safari-webudvidelser

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Sandbox

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2022-32881: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 27. oktober 2022

Security

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis omgå kontroller af kodesignering

Beskrivelse: Et problem med validering af kodesignatur er løst med forbedret kontrol.

CVE-2022-42793: Linus Henze fra Pinauten GmbH (pinauten.de)

Post tilføjet 27. oktober 2022

Shortcuts

Tilgængelig til: iPhone 8 og nyere

Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis få adgang til fotos fra låseskærmen

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2022-32872: Elite Tech Guru

Sidecar

Tilgængelig til: iPhone 8 og nyere

Effekt: En bruger kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-42790: Om kothawade fra Zaprico Digital

Post tilføjet 27. oktober 2022

Siri

Tilgængelig til: iPhone 8 og nyere

Effekt: En bruger med fysisk adgang til en enhed kan muligvis bruge Siri til at få adgang til private kalenderoplysninger

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2022-32871: Amit Prajapat fra Payatu Security Consulting Private Limited

Post tilføjet 16. marts 2023

Siri

Tilgængelig til: iPhone 8 og nyere

Effekt: En bruger med fysisk adgang til en enhed kan muligvis bruge Siri til at få oplysninger om opkaldshistorik

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32870: Andrew Goldberg fra The McCombs School of Business, The University of Texas i Austin (linkedin.com/andrew-goldberg-/)

Post tilføjet 27. oktober 2022

Software Update

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2022-42791: Mickey Jin (@patch1t) fra Trend Micro

Post tilføjet 9. november 2022

SQLite

Tilgængelig til: iPhone 8 og nyere

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-36690

Post tilføjet 27. oktober 2022

Time Zone

Tilgængelig til: iPhone 8 og nyere

Effekt: Slettede kontakter vises muligvis stadig i søgeresultater i Spotlight

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32859

Post tilføjet 27. oktober 2022

Watch app

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan være i stand til at læse et vedvarende enheds-id

Beskrivelse: Problemet er løst ved forbedret godkendelse.

CVE-2022-32835: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

Post tilføjet 27. oktober 2022

Weather

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-32875: en anonym programmør

Post tilføjet 27. oktober 2022

WebKit

Tilgængelig til: iPhone 8 og nyere

Effekt: En uautoriseret bruger kan muligvis få adgang til browserhistorik

Beskrivelse: Der var et problem med de filstier, der bruges til at gemme webstedsdata. Problemet blev løst ved at forbedre, hvordan webstedsdata gemmes.

CVE-2022-32833: Csaba Fitzl (@theevilbit) fra Offensive Security, Jeff Johnson

Post tilføjet 9. november 2022

WebKit

Tilgængelig til: iPhone 8 og nyere

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Post tilføjet 27. oktober 2022

WebKit

Tilgængelig til: iPhone 8 og nyere

Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre efterligning af brugergrænsefladen

Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 og en anonym programmør

Post tilføjet 27. oktober 2022

WebKit

Tilgængelig til: iPhone 8 og nyere

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Tilgængelig til: iPhone 8 og nyere

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) på Theori, som arbejder med Trend Micro Zero Day Initiative

WebKit Sandboxing

Tilgængelig til: iPhone 8 og nyere

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et adgangsproblem er løst med forbedringer af sandbox'en.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 og @jq0904 fra DBAppSecurity WeBin Lab

Post tilføjet 27. oktober 2022

Wi-Fi

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-46709: Wang Yu fra Cyberserval

Post tilføjet 16. marts 2023

Wi-Fi

Tilgængelig til: iPhone 8 og nyere

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-32925: Wang Yu fra Cyberserval

Post tilføjet 27. oktober 2022

Yderligere anerkendelser

AirDrop

Vi vil gerne takke Alexander Heinrich, Milan Stute og Christian Weinert fra Technical University of Darmstadt for hjælpen.

Post tilføjet 27. oktober 2022

AppleCredentialManager

Vi vil gerne takke @jonathandata1 for hjælpen.

Post tilføjet 27. oktober 2022

Calendar UI

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal for hjælpen.

Post tilføjet 27. oktober 2022

CoreGraphics

Vi vil gerne takke Simon de Vegt for hjælpen.

Post tilføjet 9. november 2022

FaceTime

Vi vil gerne takke en anonym programmør for hjælpen.

Post tilføjet 27. oktober 2022

Find My

Vi vil gerne takke en anonym programmør for hjælpen.

Post tilføjet 27. oktober 2022

Game Center

Vi vil gerne takke Joshua Jones for hjælpen.

iCloud

Vi vil gerne takke Bülent Aytulun og en anonym programmør for hjælpen.

Post tilføjet 27. oktober 2022

Identity Services

Vi vil gerne takke Joshua Jones for hjælpen.

Kernel

Vi vil gerne takke Pan ZhenPeng(@Peterpan0927), Tingting Yin fra Tsinghua University og Min Zheng fra Ant Group samt en anonym programmør for hjælpen.

Post tilføjet 27. oktober 2022

Mail

Vi vil gerne takke en anonym programmør for hjælpen.

Post tilføjet 27. oktober 2022

Noter

Vi vil gerne takke Edward Riley fra Iron Cloud Limited (ironclouduk.com) for hjælpen.

Post tilføjet 27. oktober 2022

Photo Booth

Vi vil gerne takke Prashanth Kannan fra Dremio for hjælpen.

Post tilføjet 27. oktober 2022

Safari

Vi vil gerne takke Scott Hatfield fra Sub-Zero Group for hjælpen.

Post tilføjet 16. marts 2023

Sandbox

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.

Post tilføjet 27. oktober 2022

Shortcuts

Vi vil gerne takke Shay Dror for hjælpen.

Post tilføjet 27. oktober 2022

SOS

Vi vil gerne takke Xianfeng Lu og Lei Ai fra OPPO Amber Security Lab for hjælpen.

Post tilføjet 27. oktober 2022

UIKit

Vi vil gerne takke Aleczander Ewing, Simon de Vegt og en anonym programmør for hjælpen.

Post tilføjet 27. oktober 2022

WebKit

Vi vil gerne takke en anonym programmør for hjælpen.

Post tilføjet 27. oktober 2022

WebRTC

Vi vil gerne takke en anonym programmør for hjælpen.

Post tilføjet 27. oktober 2022

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: