Σχετικά με το περιεχόμενο ασφάλειας του iOS 16.7.2 και του iPadOS 16.7.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 16.7.2 και του iPadOS 16.7.2.

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 16.7.2 και iPadOS 16.7.2

Κυκλοφόρησε στις 25 Οκτωβρίου 2023

CoreAnimation

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40449: Tomi Tokics (@tomitokics) της iTomsn0w

Core Recents

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Το πρόβλημα επιλύθηκε με εξυγίανση καταγραφής

CVE-2023-42823

Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024

Find My

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-40413: Adam M.

ImageIO

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40416: JZ

ImageIO

Αποτέλεσμα: Η επεξεργασία μιας εικόνας με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2023-42848: JZ

Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024

IOTextEncryptionFamily

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40423: ανώνυμος ερευνητής

Kernel

Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-42849: Linus Henze της Pinauten GmbH (pinauten.de)

libc

Αποτέλεσμα: Η επεξεργασία κακόβουλης εισόδου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα σε εφαρμογές που έχουν εγκατασταθεί από τους χρήστες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40446: inooo

Η καταχώριση προστέθηκε στις 3 Νοεμβρίου 2023

libxpc

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένο χειρισμό symlinks.

CVE-2023-42942: Mickey Jin (@patch1t)

Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024

Mail Drafts

Αποτέλεσμα: Η Απόκρυψη email μπορεί να απενεργοποιηθεί απροσδόκητα

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC του Wi-Fi της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2023-42846: Talal Haj Bakry και Tommy Mysk της Mysk Inc. @mysk_co

Pro Res

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu και Guang Gong του 360 Vulnerability Research Institute

Pro Res

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2023-42873: Mingxuan Yang (@PPPF00L) και happybabywu και Guang Gong του 360 Vulnerability Research Institute

Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024

Safari

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να αποκαλύψει το ιστορικό περιήγησης

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-41977: Alex Renda

Siri

Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση ενδέχεται να μπορέσει να χρησιμοποιήσει το Siri για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε μια κλειδωμένη συσκευή.

CVE-2023-41997: Bistrit Dahal

CVE-2023-41982: Bistrit Dahal

Η καταχώριση ενημερώθηκε στις 16 Φεβρουαρίου 2024

Weather

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2023-41254: Cristian Dinca του «Tudor Vianu» National High School of Computer Science, Ρουμανία

WebKit

Αποτέλεσμα: Το συνθηματικό ενός χρήστη ενδέχεται να εκφωνηθεί από το VoiceOver

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απάλειψη ευαίσθητων πληροφοριών.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

WebKit

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) της Cross Republic

WebKit

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) και Vitor Pedreira (@0xvhp_) της Agile Information Security

Η καταχώριση ενημερώθηκε στις 16 Φεβρουαρίου 2024

WebKit

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024

WebKit Process Model

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

Επιπλέον αναγνώριση

libxml2

Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.

libarchive

Θα θέλαμε να ευχαριστήσουμε τον Bahaa Naamneh για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Gishan Don Ranasinghe και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 16 Φεβρουαρίου 2024

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Φεβρουαρίου 27, 2024