Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 16.3 και του iPadOS 16.3

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

Κυκλοφόρησε στις 23 Ιανουαρίου 2023

AppleMobileFileIntegrity

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους για την αποτροπή μη εξουσιοδοτημένων ενεργειών.

CVE-2023-32438: Csaba Fitzl (@theevilbit) της Offensive Security και Mickey Jin (@patch1t)

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

AppleMobileFileIntegrity

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με ενεργοποίηση της ενίσχυσης του χρόνου εκτέλεσης.

CVE-2023-23499: Wojciech Reguła (@_r3ggi) της SecuRing (wojciechregula.blog)

Crash Reporter

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να εκτελέσει ανάγνωση αυθαίρετων αρχείων ως χρήστης με δικαιώματα ρίζας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2023-23520: Cees Elzinga

Η καταχώριση προστέθηκε στις 20 Φεβρουαρίου 2023

FontParser

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS που κυκλοφόρησαν πριν από την έκδοση iOS 15.7.1.

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-41990: Apple

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2023

Foundation

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα από το προστατευμένο περιβάλλον της ή με ορισμένα αυξημένα προνόμια

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-23530: Austin Emmitt (@alkalinesec), Senior Security Researcher του Trellix Advanced Research Center

Η καταχώριση προστέθηκε στις 20 Φεβρουαρίου 2023 και ενημερώθηκε την 1η Μαΐου 2023

Foundation

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα από το προστατευμένο περιβάλλον της ή με ορισμένα αυξημένα προνόμια

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-23531: Austin Emmitt (@alkalinesec), Senior Security Researcher του Trellix Advanced Research Center

Η καταχώριση προστέθηκε στις 20 Φεβρουαρίου 2023 και ενημερώθηκε την 1η Μαΐου 2023

ImageIO

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-23519: Meysam Firouzi @R00tkitSMM του Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) και jzhu συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023

Kernel

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητη κατάσταση πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd. (@starlabs_sg)

Kernel

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-23504: Adam Doupé της ASU SEFCOM

Mail Drafts

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Το αρχικό μήνυμα που αναφέρεται ενδέχεται να επιλεγεί από το λανθασμένο email κατά την προώθηση ενός email από έναν λογαριασμό Exchange

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-23498: Jose Lizandro Luevano

Η καταχώριση ενημερώθηκε την 1η Μαΐου 2023

Maps

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-23503: ένας ανώνυμος ερευνητής

Messages

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης μπορεί να στείλει ένα γραπτό μήνυμα από μια δευτερεύουσα eSIM παρά τη διαμόρφωση μιας επαφής ώστε να χρησιμοποιεί μια κύρια eSIM

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2023-28208: freshman

Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023

Safari

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επίσκεψη σε έναν ιστότοπο μπορεί να οδηγήσει σε άρνηση υπηρεσίας μιας εφαρμογής

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-23512: Adriatik Raci

Screen Time

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις πληροφορίες σχετικά με τις επαφές ενός χρήστη

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-23505: Wojciech Reguła της SecuRing (wojciechregula.blog) και Csaba Fitzl (@theevilbit) της Offensive Security

Η καταχώριση ενημερώθηκε την 1η Μαΐου 2023

Weather

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-23511: Wojciech Regula της SecuRing (wojciechregula.blog), ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)

Η καταχώριση προστέθηκε στις 28 Ιουνίου 2023

WebKit

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren και Hang Shu του Institute of Computing Technology, Chinese Academy of Sciences

WebKit

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) της Team ApplePIE

WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) της Team ApplePIE

WebKit

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένα έγγραφο HTML ενδέχεται να έχει τη δυνατότητα να αποδίδει iframes με ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επιβολή sandbox iframe.

WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_) 

Η καταχώριση προστέθηκε την 1η Μαΐου 2023

Core Data

Θα θέλαμε να ευχαριστήσουμε τον Austin Emmitt (@alkalinesec), Senior Security Researcher του Trellix Advanced Research Center για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2023

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Nick Stenning της Replicate για τη βοήθειά του.

Shortcuts

Θα θέλαμε να ευχαριστήσουμε τον Baibhav Anand Jha από την ReconWithMe και τον Cristian Dinca του Tudor Vianu National High School of Computer Science, Romania για τη βοήθειά τους.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Eliya Stein της Confiant για τη βοήθειά του.