Informationen zum Sicherheitsinhalt von iOS 15.7.4 und iPadOS 15.7.4
In diesem Dokument wird der Sicherheitsinhalt von iOS 15.7.4 und iPadOS 15.7.4 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
iOS 15.7.4 und iPadOS 15.7.4
Veröffentlicht am Montag, 27. März 2023
Accessibility
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.
CVE-2023-23541: Csaba Fitzl (@theevilbit) von Offensive Security
Calendar
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Das Importieren einer in böswilliger Absicht erstellten Kalendereinladung kann zum Herausfiltern von Benutzerinformationen führen.
Beschreibung: Verschiedene Überprüfungsprobleme wurden durch eine verbesserte Eingabebereinigung behoben.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.
Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2023-27936: Tingting Yin von der Tsinghua-Universität
Find My
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.
CVE-2023-23537: Adam M.
Eintrag am 21. Dezember 2023 aktualisiert
FontParser
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-27956: Ye Zhang von Baidu Security
FontParser
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung einer Schriftdatei kann zur Ausführung von willkürlichem Code führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2023-32366: Ye Zhang (@VAR10CK) von Baidu Security
Eintrag am 21. Dezember 2023 hinzugefügt
Identity Services
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise auf Informationen zu den Kontakten eines Benutzers zugreifen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.
CVE-2023-27928: Csaba Fitzl (@theevilbit) von Offensive Security
ImageIO
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch oder zur willkürlichen Ausführung von Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Offenlegung des Prozessspeichers führen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-23535: ryuzaki
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Eintrag am 1. Mai 2023 hinzugefügt
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-27969: Adam Doupé von ASU SEFCOM
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2023-23536: Félix Poulin-Bélanger und David Pan Ogea
Eintrag hinzugefügt am 1. Mai 2023, aktualisiert am 21. Dezember 2023
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2023-28185: Pan ZhenPeng von STAR Labs SG Pte. Ltd.
Eintrag am 21. Dezember 2023 hinzugefügt
libpthread
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.
CVE-2023-41075: Zweig von Kunlun Lab
Eintrag am 21. Dezember 2023 hinzugefügt
Model I/O
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten App-Abbruch oder zur willkürlichen Ausführung von Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2023-27949: Mickey Jin (@patch1t)
Model I/O
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung einer Bilddatei kann zur Offenlegung des Prozessspeichers führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2023-27950: Mickey Jin (@patch1t)
Eintrag am 21. Dezember 2023 hinzugefügt
NetworkExtension
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Benutzer in einer privilegierten Netzwerkposition können möglicherweise einen VPN-Server fälschen, der auf einem Gerät ausschließlich mit EAP-Authentifizierung konfiguriert ist.
Beschreibung: Das Problem wurde durch verbesserte Authentifizierung behoben.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Ein Kurzbefehl kann bei bestimmten Aktionen möglicherweise vertrauliche Daten verwenden, ohne dass der Benutzer eine Aufforderung erhält.
Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.
CVE-2023-27963: Jubaer Alnazi Jabin von der TRS Group Of Companies und Wenchao Li und Xiaolong Bai von der Alibaba Group
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen.
Beschreibung: Das Problem wurde durch Löschung der Ursprungsinformationen behoben.
WebKit Bugzilla: 250837
CVE-2023-27954: ein anonymer Forscher
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung eines willkürlichen Codes führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 251944
CVE-2023-23529: ein anonymer Forscher
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Eintrag am 21. Dezember 2023 hinzugefügt
WebKit PDF
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen
Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 249169
CVE-2023-32358: Eine anonyme Person in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Eintrag am 21. Dezember 2023 hinzugefügt
WebKit Web Inspector
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die willkürliche Ausführung von Code verursachen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) von SSD Labs
Eintrag am 1. Mai 2023 hinzugefügt
Zusätzliche Danksagung
Wir möchten uns bei folgenden Personen für die Unterstützung bedanken: Fabian Ising von der FH Münster – University of Applied Sciences, Damian Poddebniak von der FH Münster – University of Applied Sciences, Tobias Kappert von der FH Münster – University of Applied Sciences, Christoph Saatjohann von der FH Münster – University of Applied Sciences und Sebastian Schinzel von der FH Münster – University of Applied Sciences.
Eintrag am Montag, 1. Mai 2023 aktualisiert
WebKit Web Inspector
Wir möchten uns bei Dohyun Lee (@l33d0hyun) und crixer (@pwning_me) von SSD Labs für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.