Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
iOS 15.7.6 og iPadOS 15.7.6
Udgivet 18. maj 2023
Accessibility
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.
CVE-2023-32388: Kirin (@Pwnrin)
Apple Neural Engine
Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)
Effekt: En app kan muligvis få adgang til ekstra rettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-32425: Mohamed Ghannam (@_simo36)
Post tilføjet 21. december 2023
CoreCapture
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2023-28181: Tingting Yin fra Tsinghua University
ImageIO
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af et billede kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm, der arbejder med Trend Micro Zero Day Initiative
IOSurface
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan forårsage, at der lækkes en følsom kernestatus
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En sandbox-app kan muligvis observere netværksforbindelser i hele systemet
Beskrivelse: Problemet er løst med yderligere tilladelseskontroller.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv), der arbejder for Trend Micro Zero Day Initiative
Kernel
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.
CVE-2023-32398: Adam Doupé fra ASU SEFCOM
Metal
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
NetworkExtension
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Dette problem er løst med forbedret redigering af følsomme oplysninger.
CVE-2023-32403: Adam M.
Post opdateret 21. december 2023
Photos
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Ryst for at fortryde kan muligvis tillade, at et slettet billede vises igen uden godkendelse
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-32365: Jiwon Park
Shell
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren
Beskrivelse: Problemet blev løst ved forbedrede kontroller.
CVE-2023-32391: Wenchao Li og Xiaolong Bai fra Alibaba Group
Telephony
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En ekstern angriber kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2023-32412: Ivan Fratric fra Google Project Zero
TV App
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.
CVE-2023-32408: Adam M.
WebKit
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af webindhold kan medføre afsløring af følsomme oplysninger. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
WebKit Bugzilla: 254930
CVE-2023-28204: En anonym programmør
WebKit
Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Et use-after-free-problem blev løst gennem forbedret hukommelseshåndtering.
WebKit Bugzilla: 254840
CVE-2023-32373: En anonym programmør
Yderligere anerkendelser
libxml2
Vi vil gerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjælpen.
Reminders
Vi vil gerne takke Kirin (@Pwnrin) for hjælpen.
Security
Vi vil gerne takke James Duffy (mangoSecure) for hjælpen.
Wi-Fi
Vi vil gerne takke Adam M. for hjælpen.
Post opdateret 21. december 2023