Informationen zum Sicherheitsinhalt von iOS 16.4 und iPadOS 16.4

In diesem Dokument wird der Sicherheitsinhalt von iOS 16.4 und iPadOS 16.4 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der SeiteApple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf SchwachstellenCVE-IDsverwendet.

Weitere Informationen zur Sicherheit findest du auf der SeiteSicherheits- oder Datenschutzschwachstelle melden.

iOS 16.4 und iPadOS 16.4

Veröffentlicht am Montag, 27. März 2023

Accessibility

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-23541: Csaba Fitzl (@theevilbit) von Offensive Security

App Store

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-42830: Adam M.

Eintrag am 31. Oktober 2023 hinzugefügt, aktualisiert am 16. Juli 2024

Apple Neural Engine

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

CVE-2023-27959: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-27970: Mohamed GHANNAM

Apple Neural Engine

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

AppleMobileFileIntegrity

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Benutzer kann Zugriff auf geschützte Teile des Dateisystems erhalten.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-27931: Mickey Jin (@patch1t)

Calendar

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Das Importieren einer in böswilliger Absicht erstellten Kalendereinladung kann zum Herausfiltern von Benutzerinformationen führen.

Beschreibung: Verschiedene Überprüfungsprobleme wurden durch eine verbesserte Eingabebereinigung behoben.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Camera

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.

Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

CarPlay

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Benutzer mit privilegierter Netzwerkposition kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-23494: Itay Iellin von General Motors Product Cyber Security

ColorSync

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürliche Dateien lesen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-27955: JeongOhKyea

Core Bluetooth

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bluetooth-Pakets kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-23528: Jianjun Dai und Guang Gong vom 360 Vulnerability Research Institute

CoreCapture

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-28181: Tingting Yin von der Tsinghua-Universität

CoreServices

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40398: Mickey Jin (@patch1t)

Eintrag hinzugefügt am 16. Juli 2024

Find My

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-28195: Adam M.

CVE-2023-23537: Adam M.

Eintrag aktualisiert am 21. Dezember 2023

FontParser

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer Schriftdatei kann zur Ausführung von willkürlichem Code führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-32366: Ye Zhang (@VAR10CK) von Baidu Security

Eintrag am 31. Oktober 2023 hinzugefügt

FontParser

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-27956: Ye Zhang (@VAR10CK) von Baidu Security

Eintrag am 31. Oktober 2023 aktualisiert

Foundation

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Analyse einer in böser Absicht erstellten plist-Datei kann zu einem unerwarteten App-Abbruch oder zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-27937: ein anonymer Forscher

iCloud

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine Datei aus einem iCloud-Ordner des Typs „von mir geteilt“ kann möglicherweise Gatekeeper umgehen.

Beschreibung: Dieses Problem wurde durch zusätzliche Gatekeeper-Prüfungen für Dateien behoben, die aus einem iCloud-Ordner des Typs „von mir geteilt“ geladen wurden.

CVE-2023-23526: Jubaer Alnazi von der TRS Group of Companies

Identity Services

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-27928: Csaba Fitzl (@theevilbit) von Offensive Security

ImageIO

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-23535: ryuzaki

ImageIO

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) vom Mbition Mercedes-Benz Innovation Lab und jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer Bilddatei kann zur Offenlegung des Prozessspeichers führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) vom Mbition Mercedes-Benz Innovation Lab

CVE-2023-42865: jzhu in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und Meysam Firouzi (@R00tkitSMM) vom Mbition Mercedes-Benz Innovation Lab

Eintrag am 21. Dezember 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Benutzer kann einen Denial-of-Service auslösen

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd.

Eintrag am 31. Oktober 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-28185: Pan ZhenPeng von STAR Labs SG Pte. Ltd.

Eintrag am 31. Oktober 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer, der bereits Codes im Kernel ausführen kann, kann Schutzmaßnahmen für den Kernel-Speicher umgehen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-32424: Zechao Cai (@Zech4o) von der Zhejiang University

Eintrag am 31. Oktober 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-27969: Adam Doupé von ASU SEFCOM

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App mit Root-Rechten kann willkürlichen Code mit Kernelrechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-27933: sqrtpwn

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-23536: Félix Poulin-Bélanger und David Pan Ogea

Eintrag hinzugefügt am 1. Mai 2023, aktualisiert am 31. Oktober 2023

LaunchServices

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Dateien, die aus dem Internet geladen wurden, verfügen möglicherweise nicht über das Quarantäne-Flag.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-27943: ein anonymer Forscher, Brandon Dalton (@partyD0lphin) von Red Canary, Milan Tenk und Arthur Valiev von F-Secure Corporation

Eintrag am 31. Oktober 2023 aktualisiert

LaunchServices

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-23525: Mickey Jin (@patch1t)

libpthread

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41075: Zweig von Kunlun Lab

Eintrag am 21. Dezember 2023 hinzugefügt

Magnifier

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine Person mit physischem Zugriff auf ein iOS-Gerät kann auf dem Sperrbildschirm das letzte mit der Lupe verwendete Bild ansehen

Beschreibung: Dieses Problem wurde durch Einschränkung der Optionen behoben, die auf einem gesperrten Gerät zur Verfügung stehen.

CVE-2022-46724: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology in Bhopal

Eintrag am 1. August 2023 hinzugefügt

NetworkExtension

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Benutzer in einer privilegierten Netzwerkposition können möglicherweise einen VPN-Server fälschen, der auf einem Gerät ausschließlich mit EAP-Authentifizierung konfiguriert ist.

Beschreibung: Das Problem wurde durch verbesserte Authentifizierung behoben.

CVE-2023-28182: Zhuowei Zhang

Photos

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Fotos im Album „Ausgeblendete Fotos“ konnten ohne Autorisierung über die visuelle Suche betrachtet werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2023-23523: developStorm

Podcasts

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-27942: Mickey Jin (@patch1t)

Safari

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann unerwartet ein Lesezeichen auf dem Home-Bildschirm erstellen

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-28194: Anton Spivak

Sandbox

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Shortcuts

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Kurzbefehl kann bei bestimmten Aktionen möglicherweise vertrauliche Daten verwenden, ohne dass der Benutzer eine Aufforderung erhält.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2023-27963: Jubaer Alnazi Jabin von der TRS Group Of Companies und Wenchao Li und Xiaolong Bai von der Alibaba Group

TCC

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-28188: Xin Huang (@11iaxH)

Eintrag am 31. Oktober 2023 hinzugefügt

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Content Security Policy zum Blocken von Domänen mit Platzhalter könnte fehlschlagen

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

WebKit Bugzilla: 250709

CVE-2023-32370: Gertjan Franken von imec-DistriNet, KU Leuven

Eintrag am 31. Oktober 2023 hinzugefügt

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 250429

CVE-2023-28198: hazbinhotel in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 1. August 2023 hinzugefügt

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.

Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

WebKit Bugzilla: 247289

CVE-2022-46725: Hyeon Park (@tree_segment) von Team ApplePIE

Eintrag am 1. August 2023 hinzugefügt, am 21. Dezember 2023 aktualisiert

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell gegen Versionen von iOS, die vor iOS 15.7 veröffentlicht worden sind, aktiv ausgenutzt wurde.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 251890

CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) und Valentin Pashkov von Kaspersky

Eintrag am 21. Juni 2023 hinzugefügt, am 1. August 2023 aktualisiert

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten kann möglicherweise die Same Origin Policy umgangen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 248615

CVE-2023-27932: ein anonymer Forscher

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen.

Beschreibung: Das Problem wurde durch Löschung der Ursprungsinformationen behoben.

WebKit Bugzilla: 250837

CVE-2023-27954: Ein anonymer Forscher

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.

Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

WebKit Bugzilla: 247287

CVE-2022-46705: Hyeon Park (@tree_segment) von Team ApplePIE

Eintrag hinzugefügt am 1. Mai 2023, aktualisiert am 21. Dezember 2023

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer Datei kann zu einem Denial-of-Service führen und möglicherweise Speicherinhalte preisgeben.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 249434

CVE-2014-1745: ein anonymer Forscher

Eintrag am 21. Dezember 2023 hinzugefügt

WebKit PDF

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 249169

CVE-2023-32358: Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 1. August 2023 hinzugefügt

WebKit Web Inspector

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Entfernte Angreifer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) von SSD Labs

Eintrag am 1. Mai 2023 hinzugefügt

Zusätzliche Danksagung

Activation Lock

Wir möchten uns bei Christian Mina für die Unterstützung bedanken.

CFNetwork

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Core Location

Wir möchten uns bei IL, Diego Carvalho, Hamza Toğmuş, Liang Liu, Alex Tippets, WGM, Dennis, Dalton Gould, Alejandro Tejada Borges, Cosmin Iconaru, Chase Bigsby, Bikesh Bimali, Cal Rookard, Bashar Ajlani und Robert Kott für die Unterstützung bedanken.

Eintrag am 1. Mai 2023 hinzugefügt

CoreServices

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

file_cmds

Wir möchten uns bei Lukas Zronek für die Unterstützung bedanken.

Heimdal

Wir möchten uns bei Evgeny Legerov von Intevydis für die Unterstützung bedanken.

ImageIO

Wir möchten uns bei Meysam Firouzi @R00tkitSMM für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Tim Michaud (@TimGMichaud) von Moveworks.ai für die Unterstützung bedanken.

Eintrag hinzugefügt am 16. Juli 2024

lldb

Wir möchten uns bei James Duffy (mangoSecure) für die Unterstützung bedanken.

Eintrag am 1. Mai 2023 hinzugefügt

Mail

Wir möchten uns bei folgenden Personen für die Unterstützung bedanken: Chen Zhang, Fabian Ising von der FH Münster – University of Applied Sciences, Damian Poddebniak von der FH Münster – University of Applied Sciences, Tobias Kappert von der FH Münster – University of Applied Sciences, Christoph Saatjohann von der FH Münster – University of Applied Sciences, Sebastian Schinzel von der FH Münster – University of Applied Sciences und Merlin Chlosta vom CISPA Helmholtz-Zentrum für Informationssicherheit.

Eintrag am Montag, 1. Mai 2023 aktualisiert

Messages

Wir möchten uns bei Idriss Riouak, Anıl özdil, und Gurusharan Singh für die Unterstützung bedanken.

Eintrag am 1. Mai 2023 hinzugefügt

Password Manager

Wir möchten uns bei OCA Creations LLC und Sebastian S. Andersen für die Unterstützung bedanken.

Eintrag am 1. Mai 2023 hinzugefügt

Safari Downloads

Wir möchten uns bei Andrew Gonzalez für die Unterstützung bedanken.

Status Bar

Wir möchten uns bei N und jiaxu li für die Unterstützung bedanken.

Eintrag aktualisiert am 21. Dezember 2023

Telephony

Wir möchten uns bei CheolJun Park von KAIST SysSec Lab für die Unterstützung bedanken.

WebKit

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

WebKit Web Inspector

Wir möchten uns bei Dohyun Lee (@l33d0hyun) und crixer (@pwning_me) von SSD Labs für die Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: