Om sikkerhedsindholdet i iOS 16.7.2 og iPadOS 16.7.2

I dette dokument beskrives sikkerhedsindholdet i iOS 16.7.2 og iPadOS 16.7.2.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 16.7.2 og iPadOS 16.7.2

Udgivet 25. oktober 2023

CoreAnimation

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40449: Tomi Tokics (@tomitokics) fra iTomsn0w

Core Recents

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet blev løst ved at rense logning

CVE-2023-42823

Post tilføjet 16. februar 2024

Find My

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-40413: Adam M.

ImageIO

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40416: JZ

ImageIO

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af et skadeligt billede kan medføre beskadigelse af heap

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2023-42848: JZ

Post tilføjet 16. februar 2024

IOTextEncryptionFamily

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40423: en anonym programmør

Kernel

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-42849: Linus Henze fra Pinauten GmbH (pinauten.de)

libc

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af skadeligt input kan muligvis medføre kørsel af vilkårlig kode i brugerinstallerede apps

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-40446: inooo

Post tilføjet 3. november 2023

libxpc

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En skadelig app kan muligvis opnå rodrettigheder

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2023-42942: Mickey Jin (@patch1t)

Post tilføjet 16. februar 2024

Mail Drafts

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Skjul min e-mailadresse kan muligvis uventet blive deaktiveret

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En enhed kan muligvis spores passivt via enhedens Wi-Fi-MAC-adresse

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2023-42846: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co

Pro Res

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu og Guang Gong fra 360 Vulnerability Research Institute

Pro Res

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet blev løst ved forbedret kontrol af grænser.

CVE-2023-42873: Mingxuan Yang (@PPPF00L) og happybabywu og Guang Gong fra 360 Vulnerability Research Institute

Post tilføjet 16. februar 2024

Safari

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Et besøg på et skadeligt websted kan afsløre browserhistorikken

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-41977: Alex Renda

Siri

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2023-41997: Bistrit Dahal

CVE-2023-41982: Bistrit Dahal

Post opdateret 16. februar 2024

Weather

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2023-41254: Cristian Dinca fra "Tudor Vianu" National High School of Computer Science i Rumænien

WebKit

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: En brugers adgangskode kan muligvis læses højt af VoiceOver

Beskrivelse: Problemet er løst ved forbedret bortredigering af følsomme oplysninger.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

WebKit

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) fra Cross Republic

WebKit

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) og Vitor Pedreira (@0xvhp_) fra Agile Information Security

Post opdateret 16. februar 2024

WebKit

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev løst gennem forbedret hukommelseshåndtering.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)

WebKit

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Post tilføjet 16. februar 2024

WebKit Process Model

Fås til: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성 (Junsung Lee)

Yderligere anerkendelser

libxml2

Vi vil gerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjælpen.

libarchive

Vi vil gerne takke Bahaa Naamneh for hjælpen.

WebKit

Vi vil gerne takke en anonym programmør for hjælpen.

WebKit

Vi vil gerne takke Gishan Don Ranasinghe og en anonym programmør for hjælpen.

Post tilføjet 16. februar 2024

 

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: