Informationen zum Sicherheitsinhalt von iOS 17 und iPadOS 17

In diesem Dokument wird der Sicherheitsinhalt von iOS 17 und iPadOS 17 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Veröffentlichungen findest du auf der Seite der Apple-Sicherheitsupdates und -maßnahmen.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

iOS 17 und iPadOS 17

Accessibility

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine Person mit physischem Zugang zu einem Gerät kann mit VoiceOver unter Umständen auf private Kalenderinformationen zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2023-40529: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology in Bhopal

AirPort

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2023-40384: Adam M.

App Store

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein entfernter Angreifer kann möglicherweise die Sandbox für Webinhalte umgehen

Beschreibung: Das Problem wurde durch eine verbesserte Protokollverarbeitung behoben.

CVE-2023-40448: w0wbox

Apple Neural Engine

Verfügbar für Geräte mit Apple Neural Engine: iPhone XS und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) von Baidu Security

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Verfügbar für Geräte mit Apple Neural Engine: iPhone XS und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Verfügbar für Geräte mit Apple Neural Engine: iPhone XS und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Verfügbar für Geräte mit Apple Neural Engine: iPhone XS und neuer, iPad Pro (12,9″, 3. Generation und neuer), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-40410: Tim Michaud (@TimGMichaud) von Moveworks.ai

AppleMobileFileIntegrity

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2023-42872: Mickey Jin (@patch1t)

AppSandbox

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf Anhänge in der Notizen-App zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Einschränkung des Zugriffs auf Datencontainer behoben.

CVE-2023-42925: Wojciech Reguła (@_r3ggi) und Kirin (@Pwnrin)

Ask to Buy

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-38612: Chris Ross (Zoom)

AuthKit

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-32361: Csaba Fitzl (@theevilbit) von Offensive Security

Biometric Authentication

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-41232: Liang Wei von PixiePoint Security

Bluetooth

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer, der sich in unmittelbarer Nähe befindet, kann einen begrenzten Schreibvorgang außerhalb des zugewiesenen Bereichs verursachen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-35984: zer0k

bootp

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-41065: Adam M., Noah Roskin-Frazee und Professor Jason Lau (ZeroClicks.ai Lab)

CFNetwork

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise App Transport Security nicht durchsetzen.

Beschreibung: Das Problem wurde durch eine verbesserte Protokollverarbeitung behoben.

CVE-2023-38596: Will Brattain bei Trail of Bits

CoreAnimation

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zu einem Denial-of-Service führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40420: 이준성(Junsung Lee) von Cross Republic

Core Data

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-40528: Kirin (@Pwnrin) von NorthSea

Dev Tools

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-32396: Mickey Jin (@patch1t)

Face ID

Verfügbar für: iPhone XS und neuer, iPad Pro (12.9″, 2. Generation und neuer) und iPad Pro (11″, 1. Generation und neuer)

Auswirkung: Ein 3D-Modell, das so konstruiert ist, dass es so wie der registrierte Benutzer aussieht, kann sich über Face ID authentifizieren.

Beschreibung: Dieses Problem wurde durch verbesserte Anti-Spoofing-Modelle für Face ID behoben.

CVE-2023-41069: Zhice Yang (ShanghaiTech University)

FileProvider

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Datenschutz-Einstellungen können von einer App möglicherweise umgangen werden.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-41980: Noah Roskin-Frazee und Professor Jason Lau (ZeroClicks.ai Lab)

Game Center

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf Kontakte zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-40395: Csaba Fitzl (@theevilbit) von Offensive Security

GPU Drivers

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40431: Certik Skyfall Team

GPU Drivers

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Der Kernel-Speicher kann von einer App offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40391: Antonio Zekic (@antoniozekic) von Dataflow Security

GPU Drivers

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zu einem Denial-of-Service führen.

Beschreibung: Ein Problem mit der Ressourcenausschöpfung wurde durch eine bessere Eingabeüberprüfung behoben.

CVE-2023-40441: Ron Masas von Imperva

iCloud Photo Library

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf die Fotos-Mediathek eines Benutzers zugreifen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-40434: Mikko Kenttälä (@Turmio_) von SensorFu

IOUserEthernet

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40396: Certik Skyfall Team

Kernel

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41995: Certik Skyfall Team, pattern-f (@pattern_F_) von Ant Security Light-Year Lab

CVE-2023-42870: Zweig von Kunlun Lab

CVE-2023-41974: Félix Poulin-Bélanger

Kernel

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer, der bereits Codes im Kernel ausführen kann, kann Schutzmaßnahmen für den Kernel-Speicher umgehen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41981: Linus Henze von der Pinauten GmbH (pinauten.de)

Kernel

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd.

Kernel

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Berechtigungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2023-40429: Michael (Biscuit) Thomas und 张师傅(@京东蓝军)

Kernel

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Remotebenutzer können die Ausführung von Kernelcode verursachen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) von MIT CSAIL

libpcap

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40400: Sei K.

libxpc

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise Dateien löschen, für die sie keine Zugriffsrechte hat.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-40454: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf geschützte Benutzerdaten zugreifen.

Beschreibung: Ein Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-41073: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Bei der Verarbeitung von Webinhalten können vertrauliche Informationen offengelegt werden.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) von PK Security

Maps

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-40427: Adam M. und Wojciech Regula von SecuRing (wojciechregula.blog)

Maps

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Berechtigungsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2023-42957: Adam M. und Ron Masas von BreakPoint Security Research

MobileStorageMounter

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Nutzer kann die Rechte erhöhen.

Beschreibung: Ein Zugriffsproblem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2023-41068: Mickey Jin (@patch1t)

Music

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise geschützte Bereiche des Dateisystems ändern.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

Passkeys

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Angreifer kann möglicherweise ohne Authentifizierung auf Passkeys zugreifen

Beschreibung: Dieses Problem wurde durch zusätzliche Berechtigungsprüfungen behoben.

CVE-2023-40401: weize she und ein anonymer Forscher

Photos

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf bearbeitete Fotos zugreifen, die in einem temporären Verzeichnis gesichert sind.

Beschreibung: Dieses Problem wurde durch verbesserten Datenschutz behoben.

CVE-2023-42949: Kirin (@Pwnrin)

Photos Storage

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf bearbeitete Fotos zugreifen, die in einem temporären Verzeichnis gesichert sind.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Photos Storage

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App mit Root-Rechten kann möglicherweise auf private Daten zugreifen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-42934: Wojciech Regula von SecuRing (wojciechregula.blog)

Pro Res

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-40422: Tomi Tokics (@tomitokics) von iTomsn0w

Safari

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise feststellen, welche anderen Apps ein Benutzer installiert hat.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-35990: Adriatik Raci von Sentry Cybersecurity

Safari

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Der Besuch einer Website, die in Frames schädliche Inhalte enthält, kann zu UI-Spoofing führen.

Beschreibung: Ein Fensterverwaltungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) von Suma Soft Pvt. Ltd, Pune (Indien)

Sandbox

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürliche Dateien überschreiben.

Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Daten zugreifen, die beim Teilen eines Links durch einen Benutzer aufgezeichnet werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

Siri

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.

CVE-2023-40428: Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology in Bhopal

StorageKit

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürliche Dateien lesen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Validierung von Symlinks behoben.

CVE-2023-41968: Mickey Jin (@patch1t) und James Hutchins

TCC

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) und Csaba Fitzl (@theevilbit) von Offensive Security

WebKit

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-39434: Francisco Alonso (@revskills) und Dohyun Lee (@l33d0hyun) von PK Security

CVE-2023-40414: Francisco Alonso (@revskills)

WebKit

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-41074: 이준성(Junsung Lee) von Cross Republic und Jie Ding(@Lime) vom HKUS3 Lab

WebKit

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-35074: Dong Jun Kim (@smlijun) und Jong Seong Kim (@nevul37) von AbyssLab and zhunki

WebKit

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Benutzerpasswort kann möglicherweise von VoiceOver laut vorgelesen werden.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2023-32359: Claire Houston

WebKit

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein entfernter Angreifer ist möglicherweise in der Lage, geleakte DNS-Anfragen bei aktiviertem Privat-Relay einzusehen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-40385: anonym

WebKit

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur willkürlichen Ausführung von Code führen

Beschreibung: Ein Korrektheitsproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-42833: Dong Jun Kim (@smlijun) und Jong Seong Kim (@nevul37) von AbyssLab

Wi-Fi

Verfügbar für: iPhone XS und neuer, iPad Pro (12,9″, 2. Generation und neuer), iPad Pro (10,5″), iPad Pro (11″, 1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (6. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2023-38610: Wang Yu von Cyberserval

Zusätzliche Danksagung

Accessibility

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal für die Unterstützung bedanken.

Airport

Wir möchten uns bei Adam M., Noah Roskin-Frazee und Professor Jason Lau (ZeroClicks.ai Lab) für die Unterstützung bedanken.

Apple Neural Engine

Wir möchten uns bei pattern-f (@pattern_F_) vom Ant Security Light-Year Lab für die Unterstützung bedanken.

AppSandbox

Wir möchten uns bei Kirin (@Pwnrin) für die Unterstützung bedanken.

Audio

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Bluetooth

Wir möchten uns bei Jianjun Dai und Guang Gong vom 360 Vulnerability Research Institute für die Unterstützung bedanken.

Books

Wir möchten uns bei Aapo Oksman von Nixu Cybersecurity für die Unterstützung bedanken.

Control Center

Wir möchten uns bei Chester van den Bogaard für die Unterstützung bedanken.

CoreMedia Playback

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Data Detectors UI

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal für die Unterstützung bedanken.

Draco

Wir möchten uns bei David Coomber für die Unterstützung bedanken.

Find My

Wir möchten uns bei Cher Scarlett für die Unterstützung bedanken.

Home

Wir möchten uns bei Jake Derouin (jakederouin.com) für die Unterstützung bedanken.

IOUserEthernet

Wir möchten uns bei dem Certik Skyfall Team für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Bill Marczak von The Citizen Lab bei der Munk School der University of Toronto und Maddie Stone von der Threat Analysis Group bei Google sowie 永超 王 für die Unterstützung bedanken.

Keyboard

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

libxml2

Wir möchten uns bei OSS-Fuzz und Ned Williamson von Google Project Zero für die Unterstützung bedanken.

libxpc

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

libxslt

Wir möchten uns bei Dohyun Lee (@l33d0hyun) von PK Security, OSS-Fuzz und Ned Williamson von Google Project Zero für die Unterstützung bedanken.

Menus

Wir möchten uns bei Matthew Denton von Google Chrome Security für die Unterstützung bedanken.

Notes

Wir möchten uns bei Lucas-Raphael Müller für die Unterstützung bedanken.

Notifications

Wir möchten uns bei Jiaxu Li für die Unterstützung bedanken.

NSURL

Wir möchten uns bei Zhanpeng Zhao (行之) und 糖豆爸爸(@晴天组织) für die Unterstützung bedanken.

Password Manager

Wir möchten uns bei Hidetoshi Nakamura für die Unterstützung bedanken.

Photos

Wir möchten uns bei Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius und Paul Lurin für die Unterstützung bedanken.

Power Services

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Quick Look

Wir möchten uns bei 이준성(Junsung Lee) von Cross Republic für die Unterstützung bedanken.

Safari

Wir möchten uns bei Kang Ali von Punggawa Cyber Security und Andrew James Gonzalez für die Unterstützung bedanken.

Safari Private Browsing

Wir möchten uns bei Khiem Tran und Narendra Bhati von Suma Soft Pvt. Ltd. und einem anonymen Forscher für die Unterstützung bedanken.

Shortcuts

Wir möchten uns bei folgenden Personen für die Unterstützung bedanken: Alfie CG, Christian Basting vom Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca von der „Tudor Vianu“ National High School of Computer Science, Rumänien, Giorgos Christodoulidis, Jubaer Alnazi von der TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) und Matthew Butler.

Siri

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal für die Unterstützung bedanken.

Software Update

Wir möchten uns bei Omar Siman für die Unterstützung bedanken.

Spotlight

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal und Dawid Pałuska für die Unterstützung bedanken.

Standby

Wir möchten uns bei Abhay Kailasia (@abhay_kailasia) vom Lakshmi Narain College Of Technology Bhopal für die Unterstützung bedanken.

Status Bar

Wir möchten uns bei N und einem anonymen Forscher für die Unterstützung bedanken.

StorageKit

Wir möchten uns bei Mickey Jin (@patch1t) für die Unterstützung bedanken.

Weather

Wir möchten uns bei Wojciech Regula von SecuRing (wojciechregula.blog) für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Khiem Tran und Narendra Bhati von Suma Soft Pvt. Ltd. und einem anonymen Forscher für die Unterstützung bedanken.

WebRTC

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Wi-Fi

Wir möchten uns bei Wang Yu von Cyberserval für die Unterstützung bedanken.