Informationen zum Sicherheitsinhalt von iOS 15.5 und iPadOS 15.5

In diesem Dokument wird der Sicherheitsinhalt von iOS 15.5 und iPadOS 15.5 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

iOS 15.5 und iPadOS 15.5

AppleAVD

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-26702: ein anonymer Forscher, Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom)

AppleGraphicsControl

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26751: Michael DePlante (@izobashi) von der Zero Day Initiative von Trend Micro

AVEVideoEncoder

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-26736: ein anonymer Forscher

CVE-2022-26737: ein anonymer Forscher

CVE-2022-26738: ein anonymer Forscher

CVE-2022-26739: ein anonymer Forscher

CVE-2022-26740: Ein anonymer Forscher

DriverKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen auf Daten außerhalb des zugewiesenen Bereichs zugegriffen werden konnte, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2022-26763: Linus Henze von der Pinauten GmbH (pinauten.de)

FaceTime

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine App mit Root-Rechten kann möglicherweise auf private Daten zugreifen.

Beschreibung: Dieses Problem wurde durch die Aktivierung der gehärteten Laufzeit behoben.

CVE-2022-32781: Wojciech Reguła (@_r3ggi) von SecuRing

GPU Drivers

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26744: Ein anonymer Forscher

ImageIO

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Problem mit einem Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26711: actae0n vom Blacksun Hackers Club in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

IOKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2022-26701: chenyuwang (@mzzzz__) von Tencent Security Xuanwu Lab

IOSurfaceAccelerator

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26771: Ein anonymer Forscher

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) von STAR Labs (@starlabs_sg)

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-26757: Ned Williamson von Google Project Zero

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Angreifer, der bereits Codes im Kernel ausführen kann, kann Schutzmaßnahmen für den Kernel-Speicher umgehen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-26764: Linus Henze von der Pinauten GmbH (pinauten.de)

Kernel

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Angreifer mit willkürlichen Lese- und Schreibrechten kann möglicherweise die Authentifizierung von Zeigern umgehen.

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2022-26765: Linus Henze von der Pinauten GmbH (pinauten.de)

LaunchServices

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde mit zusätzlichen Sandbox-Einschränkungen für Anwendungen von Drittanbietern behoben.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or von Microsoft

libresolv

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von willkürlichem Code verursachen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2022-26775: Max Shavrick (@_mxms) vom Google Security Team

libresolv

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von willkürlichem Code verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-26708: Max Shavrick (@_mxms) vom Google Security Team

libresolv

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-32790: Max Shavrick (@_mxms) vom Google Security Team

libresolv

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Angreifer kann möglicherweise eine unerwartete Beendigung der Anwendung oder die Ausführung von willkürlichem Code verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-26776: Max Shavrick (@_mxms) vom Google Security Team, Zubair Ashraf von Crowdstrike

libxml2

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-23308

Notes

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung einer großen Eingabe kann zu einem Denial-of-Service führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology in Bhopal

Safari Private Browsing

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus „Privates Surfen“ aktiviert ist

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26731: ein anonymer Forscher

Security

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine schadhafte App kann die Überprüfung der Signatur umgehen

Beschreibung: Ein Problem beim Analysieren von Zertifikaten wurde durch verbesserte Prüfungen behoben.

CVE-2022-26766: Linus Henze von der Pinauten GmbH (pinauten.de)

Shortcuts

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Personen mit physischem Zugang zu einem iOS-Gerät können vom Sperrbildschirm aus auf Fotos zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26703: Salman Syed (@slmnsd551)

Spotlight

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2022-26704: Gergely Kalman (@gergely_kalman) und Joshua Mason von Mandiant

TCC

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2022-26726: Antonio Cheong Yu Xuan von YCISCQ

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 238178

CVE-2022-26700: ryuzaki

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 236950

CVE-2022-26709: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua wingtecher lab

WebKit Bugzilla: 237475

CVE-2022-26710: Chijin Zhou von ShuiMuYuLin Ltd und Tsinghua wingtecher lab

WebKit Bugzilla: 238171

CVE-2022-26717: Jeonghoon Shin von Theori

WebKit

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 238183

CVE-2022-26716: SorryMybad (@S0rryMybad) von Kunlun Lab

WebKit Bugzilla: 238699

CVE-2022-26719: Dongzhuo Zhao in Zusammenarbeit mit ADLab von Venustech

WebRTC

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Die Video-Selbstvorschau bei einem webRTC-Anruf kann unterbrochen werden, wenn der Benutzer einen Telefonanruf annimmt

Beschreibung: Ein Logikproblem bei der Verarbeitung parallel laufender Medien wurde durch eine verbesserte Statusverarbeitung behoben.

WebKit Bugzilla: 237524

CVE-2022-22677: Ein anonymer Forscher

Wi-Fi

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Schadprogramm kann möglicherweise eingeschränkten Speicher offenlegen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2022-26745: Scarlet Raine

Wi-Fi

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2022-26760: 08Tc3wBB vom ZecOps Mobile EDR Team

Wi-Fi

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2015-4142: Kostya Kortchinsky vom Google-Sicherheitsteam

Wi-Fi

Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer und iPod touch (7. Generation)

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-26762: Wang Yu von Cyberserval

Zusätzliche Danksagung

AppleMobileFileIntegrity

Wir möchten uns bei Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.

FaceTime

Wir möchten uns bei Wojciech Reguła (@_r3ggi) von SecuRing für die Unterstützung bedanken.

FileVault

Wir möchten uns bei Benjamin Adolphi von der Promon Germany GmbH für die Unterstützung bedanken.

WebKit

Wir möchten uns bei James Lee und einem anonymen Forscher für die Unterstützung bedanken.

Wi-Fi

Wir möchten uns bei 08Tc3wBB vom ZecOps Mobile EDR Team für die Unterstützung bedanken.