Informationen zum Sicherheitsinhalt von iOS 16.6 und iPadOS 16.6

In diesem Dokument wird der Sicherheitsinhalt von iOS 16.6 und iPadOS 16.6 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Veröffentlichungen findest du auf der Seite der Apple-Sicherheitsupdates und -maßnahmen.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.

iOS 16.6 und iPadOS 16.6

Veröffentlicht am 24. Juli 2023

Accessibility

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-40442: Nick Brook

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

Accounts

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-40439: Kirin (@Pwnrin)

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

Apple Neural Engine

Verfügbar für Geräte mit Apple Neural Engine: iPhone 8 und neuer, iPad Pro (3. Generation und neuer), iPad Air (3. Generation und neuer), iPad mini (5. Generation)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-34425: pattern-f (@pattern_F_) von Ant Security Light-Year Lab

CVE-2023-38136: Mohamed GHANNAM (@_simo36)

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

Eintrag am 31. Oktober 2023 aktualisiert

CFNetwork

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-40392: Wojciech Regula von SecuRing (wojciechregula.blog)

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

Find My

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.

Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.

CVE-2023-40437: Kirin (@Pwnrin) und Wojciech Regula von SecuRing (wojciechregula.blog)

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

Find My

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise vertrauliche Standortinformationen lesen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2023-32416: Wojciech Regula von SecuRing (wojciechregula.blog)

ImageIO

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2022-3970: gefunden von OSS-Fuzz

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Remotebenutzer können einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-38590: Zweig von Kunlun Lab

Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-36495: 香农的三蹦子 von Pangu Lab

Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2023-38604: Ein anonymer Forscher

Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) von STAR Labs SG Pte. Ltd.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) von STAR Labs SG Pte. Ltd.

CVE-2023-38261: Ein anonymer Forscher

CVE-2023-38424: Certik Skyfall Team

CVE-2023-38425: Certik Skyfall Team

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status modifizieren. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden. 

Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) und Boris Larin (@oct0xor) von Kaspersky

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2023-32381: Ein anonymer Forscher

CVE-2023-32433: Zweig von Kunlun Lab

CVE-2023-35993: Kaitao Xie und Xiaolong Bai von der Alibaba Group

CVE-2023-41995: Certik Skyfall Team, pattern-f (@pattern_F_) von Ant Security Light-Year Lab

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Eintrag am 31. Oktober 2023 aktualisiert

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Nutzer kann die Rechte erhöhen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-38410: Ein anonymer Forscher

Kernel

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-38603: Zweig von Kunlun Lab

libpcap

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Remotebenutzer können einen unerwarteten App-Abbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2023-40400: Sei K.

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

libxpc

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2023-38565: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.

CVE-2023-38593: Noah Roskin-Frazee

Logging

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Prüfung der Umgebungsvariablen behoben.

CVE-2023-40394: Wojciech Regula von SecuRing (wojciechregula.blog)

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

NSURLSession

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann möglicherweise die Sandbox umgehen.

Beschreibung: Dieses Problem wurde durch Verbesserungen am Protokoll zur Dateiverwaltung behoben.

CVE-2023-32437: Thijs Alkemade von Computest Sector 7

Weather

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine App kann den aktuellen Standort eines Benutzers bestimmen.

Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.

CVE-2023-38605: Adam M.

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Ein entfernter Angreifer kann die Ausführung von willkürlichem JavaScript-Code verursachen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 257824
CVE-2023-40397: Johan Carlsson (joaxcar)

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin und Yuval Yarom

Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung eines Dokuments kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)

Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) von Suma Soft Pvt. Ltd, Pune, Indien, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina und Lorenzo Veronese von der TU Wien

Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Eine Website kann möglicherweise die Richtlinie „gleicher Ursprung“ umgehen.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) von Suma Soft Pvt. Ltd, Pune, Indien

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu

WebKit Bugzilla: 256573
CVE-2023-38595: ein anonymer Forscher, Jiming Wang und Jikai Ren

WebKit Bugzilla: 257387
CVE-2023-38600: Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 259231
CVE-2023-37450: Ein anonymer Forscher

Dieses Problem wurde zuerst in Rapid Security Response (schnelle Sicherheitsmaßnahme) iOS 16.5.1 (c) und iPadOS 16.5.1 (c) behandelt.

 

WebKit

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen

Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.

WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) und Junsung Lee

Eintrag am 21. Dezember 2023 hinzugefügt

WebKit Process Model

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) von Cross Republic

WebKit Web Inspector

Verfügbar für: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer)

Auswirkung: Bei der Verarbeitung von Webinhalten können vertrauliche Informationen offengelegt werden.

Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.

WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

 

Zusätzliche Danksagung

Mail

Wir möchten uns bei Parvez Anwar für die Unterstützung bedanken.

Screenshots

Wir möchten uns bei Dametto Luca, Casati Jacopo, Eric Williams (@eric5310pub) und Yannik Bloscheck (yannikbloscheck.com) für die Unterstützung bedanken.

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

WebKit

Wir möchten uns bei Narendra Bhati (@imnarendrabhati) von Suma Soft Pvt. Ltd., Indien für die Unterstützung bedanken.

Eintrag am Dienstag, 31. Oktober 2023 hinzugefügt

WebKit

Wir danken Narendra Bhati (twitter.com/imnarendrabhati) von Suma Soft Pvt. Ltd, Pune, Indien für die Unterstützung.

Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt

WebRTC

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

 

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: