Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Veröffentlichungen findest du auf der Seite der Apple-Sicherheitsupdates und -maßnahmen.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite Sicherheits- oder Datenschutzschwachstelle melden.
iOS 15.7.8 und iPadOS 15.7.8
Veröffentlicht am 24. Juli 2023
Accessibility
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.
CVE-2023-40442: Nick Brook
Eintrag am 8. September 2023 hinzugefügt
Apple Neural Engine
Verfügbar für Geräte mit Apple Neural Engine: iPhone 8 und neuer, iPad Pro (3. Generation und neuer), iPad Air (3. Generation und neuer), iPad mini (5. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-34425: pattern-f (@pattern_F_) von Ant Security Light-Year Lab
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
Apple Neural Engine
Verfügbar für Geräte mit Apple Neural Engine: iPhone 8 und neuer, iPad Pro (3. Generation und neuer), iPad Air (3. Generation und neuer), iPad mini (5. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CFNetwork
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann ggf. vertrauliche Standortdaten lesen.
Beschreibung: Ein Datenschutzproblem wurde durch eine verbesserte Unkenntlichmachung privater Daten in Protokolleinträgen behoben.
CVE-2023-40392: Wojciech Regula von SecuRing (wojciechregula.blog)
Eintrag am 8. September 2023 hinzugefügt
Find My
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise vertrauliche Standortinformationen lesen
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2023-32416: Wojciech Regula von SecuRing (wojciechregula.blog)
FontParser
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung einer Schriftdatei kann zur Ausführung von willkürlichem Code führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.
Beschreibung: Das Problem wurde durch eine verbesserte Verarbeitung der Caches behoben.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) und Boris Larin (@oct0xor) von Kaspersky
Eintrag am 8. September 2023 hinzugefügt
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2023-38603: Zweig von Kunlun Lab
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Remotebenutzer können einen unerwarteten Systemabbruch oder einen Fehler beim Kernel-Speicher verursachen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-38590: Zweig von Kunlun Lab
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Ganzzahlüberlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2023-36495: 香农的三蹦子 von Pangu Lab
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs geschrieben werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2023-38604: Ein anonymer Forscher
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) von STAR Labs SG Pte. Ltd.
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise einen vertraulichen Kernel-Status ändern. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.
Beschreibung: Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) und Boris Larin (@oct0xor) von Kaspersky
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2023-32433: Zweig von Kunlun Lab
CVE-2023-35993: Kaitao Xie und Xiaolong Bai von der Alibaba Group
Kernel
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Ein Remote-Benutzer kann möglicherweise einen Denial-of-Service verursachen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
CVE-2023-38603: Zweig von Kunlun Lab
Eintrag am 22. Dezember 2023 hinzugefügt
libxpc
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann unter Umständen einen Denial-of-Service verursachen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Prüfungen behoben.
CVE-2023-38593: Noah Roskin-Frazee
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
libxpc
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise Root-Rechte erlangen.
Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2023-38565: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (xlab.tencent.com)
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
Security
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann möglicherweise auf den Fingerabdruck eines Benutzers zugreifen.
Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2023-42831: James Duffy (mangoSecure)
Eintrag am 22. Dezember 2023 hinzugefügt
Weather
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine App kann den aktuellen Standort eines Benutzers bestimmen.
Beschreibung: Dieses Problem wurde durch eine verbesserte Unkenntlichmachung vertraulicher Informationen behoben.
CVE-2023-38605: Adam M.
Eintrag am 8. September 2023 hinzugefügt
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin und Yuval Yarom
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung eines Dokuments kann zu einem Cross-Site-Scripting-Angriff führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 259231
CVE-2023-37450: Ein anonymer Forscher
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Eine Website kann möglicherweise die Richtlinie „gleicher Ursprung“ umgehen.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) von Suma Soft Pvt. Ltd, Pune, Indien
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Ein entfernter Angreifer kann die Sandbox für Webinhalte umgehen. Apple ist bekannt, dass ein Bericht vorliegt, wonach dieses Problem eventuell aktiv ausgenutzt wurde.
Beschreibung: Das Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne von der Threat Analysis Group von Google und Donncha Ó Cearbhaill vom Security Lab von Amnesty International
WebKit
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Process Model
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Die Verarbeitung von Webinhalten kann zur Ausführung von willkürlichem Code führen
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) von Cross Republic
WebKit Web Inspector
Verfügbar für: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation)
Auswirkung: Bei der Verarbeitung von Webinhalten können vertrauliche Informationen offengelegt werden.
Beschreibung: Das Problem wurde durch verbesserte Prüfungen behoben.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Zusätzliche Danksagung
Wir möchten uns bei Parvez Anwar für die Unterstützung bedanken.
Screenshots
Wir möchten uns bei Eric Williams (@eric5310pub), Yannik Bloscheck (yannikbloscheck.com), Dametto Luca und Casati Jacopo für die Unterstützung bedanken.
Eintrag am 8. September 2023 hinzugefügt
WebKit
Wir danken Narendra Bhati (twitter.com/imnarendrabhati) von Suma Soft Pvt. Ltd, Pune, Indien für die Unterstützung.
Eintrag am Donnerstag, 27. Juli 2023 hinzugefügt
WebRTC
Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.