Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 15.5 και του iPadOS 15.5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 15.5 και του iPadOS 15.5.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 15.5 και iPadOS 15.5

Κυκλοφόρησε στις 16 Μαΐου 2022

AppleAVD

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2022-26702: ένας ανώνυμος ερευνητής, Antonio Zekic (@antoniozekic) και John Aakerblom (@jaakerblom)

Η καταχώριση ενημερώθηκε στις 16 Μαρτίου 2023

AppleGraphicsControl

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2022-26751: Michael DePlante (@izobashi) του προγράμματος Zero Day Initiative της Trend Micro

AVEVideoEncoder

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-26736: ανώνυμος ερευνητής

CVE-2022-26737: ανώνυμος ερευνητής

CVE-2022-26738: ανώνυμος ερευνητής

CVE-2022-26739: ανώνυμος ερευνητής

CVE-2022-26740: ανώνυμος ερευνητής

DriverKit

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2022-26763: Linus Henze της Pinauten GmbH (pinauten.de)

FaceTime

Αποτέλεσμα: Μια εφαρμογή με προνόμια ρίζας ενδέχεται να έχει δυνατότητα πρόσβασης σε απόρρητες πληροφορίες

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με ενεργοποίηση της ενίσχυσης του χρόνου εκτέλεσης.

CVE-2022-32781: Wojciech Reguła (@_r3ggi) της SecuRing

Η καταχώριση προστέθηκε στις 6 Ιουλίου 2022

GPU Drivers

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-26744: ανώνυμος ερευνητής

ImageIO

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης ακεραίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2022-26711: actae0n της Blacksun Hackers Club σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOKit

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2022-26701: chenyuwang (@mzzzz__) της Tencent Security Xuanwu Lab

IOSurfaceAccelerator

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-26771: ανώνυμος ερευνητής

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) της STAR Labs (@starlabs_sg)

Kernel

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2022-26757: Ned Williamson του Google Project Zero

Kernel

Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-26764: Linus Henze της Pinauten GmbH (pinauten.de)

Kernel

Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2022-26765: Linus Henze της Pinauten GmbH (pinauten.de)

LaunchServices

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα πρόσβασης με πρόσθετους περιορισμούς sandbox σε εφαρμογές τρίτων.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or της Microsoft

Η καταχώριση ενημερώθηκε στις 6 Ιουλίου 2022

libresolv

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2022-26775: Max Shavrick (@_mxms) της ομάδας Google Security

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022

libresolv

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-26708: Max Shavrick (@_mxms) της ομάδας Google Security

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022

libresolv

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-32790: Max Shavrick (@_mxms) της ομάδας Google Security

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022

libresolv

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-26776: Max Shavrick (@_mxms) της ομάδας Google Security, Zubair Ashraf της Crowdstrike

Η καταχώριση προστέθηκε στις 21 Ιουνίου 2022

libxml2

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2022-23308

Notes

Αποτέλεσμα: Η επεξεργασία μιας εισαγωγής μεγάλου μεγέθους μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College Of Technology Bhopal

Safari Private Browsing

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να παρακολουθεί τους επισκέπτες όταν χρησιμοποιούν την ιδιωτική περιήγηση στο Safari

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-26731: ανώνυμος ερευνητής

Security

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει επικύρωση υπογραφής

Περιγραφή: Ένα πρόβλημα ανάλυσης πιστοποιητικού αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-26766: Linus Henze της Pinauten GmbH (pinauten.de)

Shortcuts

Αποτέλεσμα: Ένας χρήστης με φυσική πρόσβαση σε μια συσκευή iOS ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε φωτογραφίες από την οθόνη κλειδώματος

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2022-26703: Salman Syed (@slmnsd551)

Spotlight

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2022-26704: Gergely Kalman (@gergely_kalman) και Joshua Mason της Mandiant

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2023

TCC

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-26726: Antonio Cheong Yu Xuan της YCISCQ

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2023

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou της ShuiMuYuLin Ltd και του Tsinghua wingtecher lab

WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou της ShuiMuYuLin Ltd και του Tsinghua wingtecher lab

WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin της Theori

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) της Kunlun Lab

WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech

WebRTC

Αποτέλεσμα: Η αυτόματη προεπισκόπηση βίντεο σε μια κλήση webRTC μπορεί να διακοπεί, αν ο χρήστης απαντήσει σε μια τηλεφωνική κλήση

Περιγραφή: Ένα πρόβλημα λογικής στον χειρισμό ταυτόχρονων μέσων αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

WebKit Bugzilla: 237524
CVE-2022-22677: ανώνυμος ερευνητής

Wi-Fi

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-26745: Scarlet Raine

Η καταχώριση ενημερώθηκε στις 6 Ιουλίου 2022

Wi-Fi

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-26760: 08Tc3wBB τη ZecOps Mobile EDR Team

Wi-Fi

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2015-4142: Kostya Kortchinsky της Ομάδας ασφάλειας της Google

Wi-Fi

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2022-26762: Wang Yu της Cyberserval

Επιπλέον αναγνώριση

AppleMobileFileIntegrity

Θα θέλαμε να ευχαριστήσουμε τον Wojciech Reguła (@_r3ggi) της SecuRing για τη βοήθειά του.

FaceTime

Θα θέλαμε να ευχαριστήσουμε τον Wojciech Reguła (@_r3ggi) της SecuRing για τη βοήθειά του.

FileVault

Θα θέλαμε να ευχαριστήσουμε τον Benjamin Adolphi της Promon Germany GmbH για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 16 Μαρτίου 2023

WebKit

Θα θέλαμε να ευχαριστήσουμε τον James Lee και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 25 Μαΐου 2022

Wi-Fi

Θα θέλαμε να ευχαριστήσουμε τον χρήστη 08Tc3wBB της ομάδας ZecOps Mobile EDR Team για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Ιανουαρίου 03, 2024