Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 15.3 και του iPadOS 15.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 15.3 και του iPadOS 15.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 15.3 και iPadOS 15.3

ColorSync

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-22584: Mickey Jin (@patch1t) της Trend Micro

Crash Reporter

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2022-22578: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

iCloud

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση στα αρχεία ενός χρήστη

Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εξυγίανση διαδρομών.

CVE-2022-22585: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (https://xlab.tencent.com)

IOMobileFrameBuffer

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2022-22587: ανώνυμος ερευνητής, Meysam Firouzi (@R00tkitSMM) του MBition – Mercedes-Benz Innovation Lab, Siddharth Aeri (@b1n4r1b01)

Kernel

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2022-22593: Peter Nguyễn Vũ Hoàng της STAR Labs

Model I/O

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου STL μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2022-22579: Mickey Jin (@patch1t) της Trend Micro

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος email μπορεί να οδηγήσει σε εκτέλεση αυθαίρετης javascript

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2022-22589: Heige της ομάδας KnownSec 404 (knownsec.com) και Bo Qu της Palo Alto Networks (paloaltonetworks.com)

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2022-22590: Toan Pham από την ομάδα Orca της Sea Security (security.sea.com)

WebKit

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2022-22592: Prakash (@1lastBr3ath)

WebKit Storage

Διαθέσιμο για: iPhone 6s και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 2 και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα, iPad mini 4 και νεότερα μοντέλα και iPod touch (7ης γενιάς)

Αποτέλεσμα: Ένας ιστότοπος ενδέχεται να μπορεί να παρακολουθεί ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα πολλαπλής προέλευσης στο IndexDB API αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2022-22594: Martin Bajanik της FingerprintJS

Επιπλέον αναγνώριση

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Prakash (@1lastBr3ath) και bo13oy του Cyber Kunlun Lab για τη βοήθειά τους.