Informationen zum Sicherheitsinhalt von iOS 16
In diesem Dokument wird der Sicherheitsinhalt von iOS 16 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
iOS 16
Accelerate Framework
Verfügbar für: iPhone 8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-42795: ryuzaki
AppleAVD
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich von Google Project Zero und ein anonymer Forscher
AppleAVD
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32907: Natalie Silvanovich von Google Project Zero, Antonio Zekic (@antoniozekic) und John Aakerblom (@jaakerblom), ABC Research Ltd., Yinyi Wu, Tommaso Bianco (@cutesmilee__)
AppleMobileFileIntegrity
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) von SecuRing
Apple Neural Engine
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status preisgeben.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Apple TV
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2022-32909: Csaba Fitzl (@theevilbit) von Offensive Security
Contacts
Verfügbar für: iPhone 8 und neuer
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32854: Holger Fuhrmannek von Deutsche Telekom Security
Crash Reporter
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein Benutzer mit physischem Zugang zu einem iOS-Gerät kann unter Umständen mehr als die Diagnoseprotokolle lesen.
Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.
CVE-2022-32867: Kshitij Kumar und Jai Musunuri von Crowdstrike
DriverKit
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32865: Linus Henze von der Pinauten GmbH (pinauten.de)
Exchange
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein Benutzer in einer privilegierten Netzwerkposition kann möglicherweise E-Mail-Anmeldedaten abfangen
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) von Check Point Research
FaceTime
Verfügbar für: iPhone 8 und neuer
Auswirkung: Benutzer:innen übertragen möglicherweise in einem FaceTime-Anruf Audio- und Videosignale, ohne sich dessen bewusst zu sein.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-22643: Sonali Luthar von der University of Virginia, Michael Liao von der University of Illinois at Urbana-Champaign, Rohan Pahwa von der Rutgers University und Bao Nguyen von der University of Florida
GPU Drivers
Verfügbar für: iPhone 8 und neuer
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Mehrere Probleme, aufgrund derer Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32793: Ein anonymer Forscher
GPU Drivers
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-26744: Ein anonymer Forscher
GPU Drivers
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32903: ein anonymer Forscher
ImageIO
Verfügbar für: iPhone 8 und neuer
Auswirkung: Die Verarbeitung eines Bildes kann zu einem Denial-of-Service führen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2022-1622
Image Processing
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App in einer Sandbox kann unter Umständen ermitteln, welche App die Kamera nutzt.
Beschreibung: Dieses Problem wurde durch zusätzliche Einschränkungen für die Beobachtbarkeit des App-Status behoben.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
IOGPUFamily
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32887: ein anonymer Forscher
Kernel
Verfügbar für: iPhone 8 und neuer
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Es bestand ein Problem, das den Lesezugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dadurch wurden Inhalte des Kernel-Speichers offengelegt. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-32916: Pan ZhenPeng von STAR Labs SG Pte. Ltd.
Kernel
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32914: Zweig von Kunlun Lab
Kernel
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32866: Linus Henze von der Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig von Kunlun Lab
Kernel
Verfügbar für: iPhone 8 und neuer
Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32864: Linus Henze von der Pinauten GmbH (pinauten.de)
Kernel
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32917: ein anonymer Forscher
Maps
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein Nutzer kann die Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2022-32908: ein anonymer Forscher
Notifications
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann unter Umständen vom Sperrbildschirm aus auf Kontakte zugreifen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32879: Ubeydullah Sümer
Photos
Verfügbar für: iPhone 8 und neuer
Auswirkung: Die Privatsphäre-Einstellungen können von einer App möglicherweise umgangen werden.
Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.
CVE-2022-32918: Ashwani Rajput von Nagarro Software Pvt. Ltd, Srijan Shivam Mishra von The Hack Report, Jugal Goradia von Aastha Technologies, Evan Ricafort (evanricafort.com) von Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) und Amod Raghunath Patwardhan aus Pune, Indien
Safari
Verfügbar für: iPhone 8 und neuer
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu URL-Spoofing führen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2022-32795: Narendra Bhati von Suma Soft Pvt. Ltd. Pune (Indien) @imnarendrabhati
Safari Extensions
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine Website kann Benutzer über Safari-Weberweiterungen verfolgen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32868: Michael
Sandbox
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32881: Csaba Fitzl (@theevilbit) von Offensive Security
Security
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann unter Umständen Code-Signaturprüfungen umgehen.
Beschreibung: Ein Problem bei der Überprüfung von Code-Signaturen wurde durch verbesserte Prüfungen behoben.
CVE-2022-42793: Linus Henze von der Pinauten GmbH (pinauten.de)
Shortcuts
Verfügbar für: iPhone 8 und neuer
Auswirkung: Personen mit physischem Zugang zu einem iOS-Gerät können vom Sperrbildschirm aus auf Fotos zugreifen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32872: Elite Tech Guru
Sidecar
Verfügbar für: iPhone 8 und neuer
Auswirkung: Benutzer können möglicherweise eingeschränkten Inhalt auf dem Sperrbildschirm anzeigen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-42790: Om Kothawade von Zaprico Digital
Siri
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine Person mit physischem Zugang zu einem Gerät kann mit Siri unter Umständen auf private Kalenderinformationen zugreifen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2022-32871: Amit Prajapat von Payatu Security Consulting Private Limited
Siri
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein Benutzer mit physischem Zugang zu einem Gerät kann sich mit Siri unter Umständen Informationen zum Anrufverlauf beschaffen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32870: Andrew Goldberg von The McCombs School of Business, The University of Texas at Austin (linkedin.com/andrew-goldberg-/)
Software Update
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2022-42791: Mickey Jin (@patch1t) von Trend Micro
SQLite
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-36690
Time Zone
Verfügbar für: iPhone 8 und neuer
Auswirkung: Gelöschte Kontakte werden möglicherweise weiterhin in den Spotlight-Suchergebnissen angezeigt
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32859
Watch app
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise eine persistente Geräte-ID lesen.
Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.
CVE-2022-32835: Guilherme Rambo von Best Buddy Apps (rambo.codes)
Weather
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-32875: ein anonymer Forscher
WebKit
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein nicht autorisierter Benutzer kann möglicherweise auf den Browserverlauf zugreifen.
Beschreibung: Es bestand ein Problem mit den Dateipfaden, unter denen Websitedaten gesichert wurden. Das Problem wurde behoben, indem die Art der Sicherung von Websitedaten verbessert wurde.
CVE-2022-32833: Csaba Fitzl (@theevilbit) von Offensive Security, Jeff Johnson
WebKit
Verfügbar für: iPhone 8 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32888: P1umer (@p1umer)
WebKit
Verfügbar für: iPhone 8 und neuer
Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.
Beschreibung: Das Problem wurde durch verbesserte UI-Verwaltung behoben.
CVE-2022-32891: @real_as3617 und ein anonymer Forscher
WebKit
Verfügbar für: iPhone 8 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Verfügbar für: iPhone 8 und neuer
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32912: Jeonghoon Shin (@singi21a) bei Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit Sandboxing
Verfügbar für: iPhone 8 und neuer
Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.
Beschreibung: Ein Zugriffsproblem wurde durch Verbesserungen an der Sandbox behoben.
CVE-2022-32892: @18楼梦想改造家 und @jq0904 vom WeBin Lab von DBAppSecurity
Wi-Fi
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2022-46709: Wang Yu von Cyberserval
Wi-Fi
Verfügbar für: iPhone 8 und neuer
Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.
Beschreibung: Ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2022-32925: Wang Yu von Cyberserval
Zusätzliche Danksagung
AirDrop
Wir möchten uns bei Alexander Heinrich, Milan Stute und Christian Weinert von der Technischen Universität Darmstadt für die Unterstützung bedanken.
AppleCredentialManager
Wir möchten uns bei @jonathandata1 für die Unterstützung bedanken.
Calendar UI
Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal für die Unterstützung bedanken.
CoreGraphics
Wir möchten uns bei Simon de Vegt für die Unterstützung bedanken.
FaceTime
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Find My
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Game Center
Wir möchten uns bei Joshua Jones für die Unterstützung bedanken.
iCloud
Wir möchten uns bei Bülent Aytulun und einem anonymen Forscher für die Unterstützung bedanken.
Identity Services
Wir möchten uns bei Joshua Jones für die Unterstützung bedanken.
Kernel
Wir möchten uns bei Pan ZhenPeng (@Peterpan0927), Tingting Yin von der Tsinghua University und Min Zheng von der Ant Group und einem anonymen Forscher für die Unterstützung bedanken.
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Notes
Wir möchten uns bei Edward Riley von Iron Cloud Limited (ironclouduk.com) für die Unterstützung bedanken.
Photo Booth
Wir möchten uns bei Prashanth Kannan von Dremio für die Unterstützung bedanken.
Safari
Wir möchten uns bei Scott Hatfield von Sub-Zero Group für die Unterstützung bedanken.
Sandbox
Wir möchten uns bei Csaba Fitzl (@theevilbit) von Offensive Security für die Unterstützung bedanken.
Shortcuts
Wir möchten uns bei Shay Dror für die Unterstützung bedanken.
SOS
Wir möchten uns bei Xianfeng Lu und Lei Ai vom OPPO Amber Security Lab für die Unterstützung bedanken.
UIKit
Wir möchten uns bei Aleczander Ewing, Simon de Vegt und einem anonymen Forscher für die Unterstützung bedanken.
WebKit
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
WebRTC
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.