Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
iOS 15.7.4 og iPadOS 15.7.4
Udgivet den 27. marts 2023
Accessibility
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-23541: Csaba Fitzl (@theevilbit) fra Offensive Security
Calendar
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Import af en skadeligt udformet kalenderinvitation kan hente brugeroplysninger
Beskrivelse: Der var flere godkendelsesproblemer, som er løst ved hjælp af forbedret rensning af input.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En sandbox-app kan muligvis se, hvilken app der i øjeblikket bruger kameraet
Beskrivelse: Problemet blev løst via yderligere begrænsninger for observerbarhed af apptilstande.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2023-27936: Tingting Yin fra Tsinghua University
Find My
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-23537: Adam M.
Post opdateret 21. december 2023
FontParser
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-27956: Ye Zhang fra Baidu Security
FontParser
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af et skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2023-32366: Ye Zhang (@VAR10CK) fra Baidu Security
Post tilføjet 21. december 2023
Identity Services
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af et skadeligt arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-23535: ryuzaki
Kernel
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Post tilføjet 1. maj 2023
Kernel
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2023-27969: Adam Doupé fra ASU SEFCOM
Kernel
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet blev løst ved forbedret kontrol af grænser.
CVE-2023-23536: Félix Poulin-Bélanger og David Pan Ogea
Post tilføjet 1. maj 2023, opdateret 21. december 2023
Kernel
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan forårsage et DoS-angreb
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2023-28185: Pan ZhenPeng fra STAR Labs SG Pte. Ltd.
Post tilføjet 21. december 2023
libpthread
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
CVE-2023-41075: Zweig fra Kunlun Lab
Post tilføjet 21. december 2023
Model I/O
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af et skadeligt arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-27949: Mickey Jin (@patch1t)
Model I/O
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-27950: Mickey Jin (@patch1t)
Post tilføjet 21. december 2023
NetworkExtension
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En bruger i en privilegeret netværksposition kan muligvis spoofe en VPN-server, der er konfigureret kun med EAP-godkendelse på en enhed
Beskrivelse: Problemet blev løst ved forbedret godkendelse.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin fra TRS Group Of Companies og Wenchao Li og Xiaolong Bai fra Alibaba Group
WebKit
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Et websted kan potentielt spore følsomme brugeroplysninger
Beskrivelse: Problemet er løst ved at fjerne oplysninger om oprindelse.
WebKit Bugzilla: 250837
CVE-2023-27954: En anonym programmør
WebKit
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
WebKit Bugzilla: 251944
CVE-2023-23529: En anonym programmør
WebKit
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev løst gennem forbedret hukommelseshåndtering.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel, der arbejder med Trend Micros Zero Day Initiative
Post tilføjet 21. december 2023
WebKit PDF
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
WebKit Bugzilla: 249169
CVE-2023-32358: Anonym, der arbejder med Trend Micros Zero Day Initiative
Post tilføjet 21. december 2023
WebKit Web Inspector
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En ekstern bruger kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) fra SSD Labs
Post tilføjet 1. maj 2023
Yderligere anerkendelser
Vi vil gerne takke Fabian Ising fra FH Münster University of Applied Sciences, Damian Poddebniak fra FH Münster University of Applied Sciences, Tobias Kappert fra Münster University of Applied Sciences, Christoph Saatjohann fra Münster University of Applied Sciences og Sebastian Schinzel fra Münster University of Applied Sciences for hjælpen.
Post opdateret 1. maj 2023
WebKit Web Inspector
Vi vil gerne takke Dohyun Lee (@l33d0hyun) og crixer (@pwning_me) fra SSD Labs for hjælpen.