Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 16.3 και του iPadOS 16.3
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 16.3 και του iPadOS 16.3.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
iOS 16.3 και iPadOS 16.3
Κυκλοφόρησε στις 23 Ιανουαρίου 2023
AppleMobileFileIntegrity
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους για την αποτροπή μη εξουσιοδοτημένων ενεργειών.
CVE-2023-32438: Csaba Fitzl (@theevilbit) της Offensive Security και Mickey Jin (@patch1t)
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
AppleMobileFileIntegrity
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με ενεργοποίηση της ενίσχυσης του χρόνου εκτέλεσης.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) της SecuRing (wojciechregula.blog)
Crash Reporter
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να εκτελέσει ανάγνωση αυθαίρετων αρχείων ως χρήστης με δικαιώματα ρίζας
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.
CVE-2023-23520: Cees Elzinga
Η καταχώριση προστέθηκε στις 20 Φεβρουαρίου 2023
FontParser
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS που κυκλοφόρησαν πριν από την έκδοση iOS 15.7.1.
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-41990: Apple
Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2023
Foundation
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα από το προστατευμένο περιβάλλον της ή με ορισμένα αυξημένα προνόμια
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-23530: Austin Emmitt (@alkalinesec), Senior Security Researcher του Trellix Advanced Research Center
Η καταχώριση προστέθηκε στις 20 Φεβρουαρίου 2023 και ενημερώθηκε την 1η Μαΐου 2023
Foundation
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα από το προστατευμένο περιβάλλον της ή με ορισμένα αυξημένα προνόμια
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-23531: Austin Emmitt (@alkalinesec), Senior Security Researcher του Trellix Advanced Research Center
Η καταχώριση προστέθηκε στις 20 Φεβρουαρίου 2023 και ενημερώθηκε την 1η Μαΐου 2023
ImageIO
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM του Mbition Mercedes-Benz Innovation Lab, Yiğit Can YILMAZ (@yilmazcanyigit) και jzhu συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
Η καταχώριση ενημερώθηκε στις 5 Σεπτεμβρίου 2023
Kernel
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητη κατάσταση πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd. (@starlabs_sg)
Kernel
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-23504: Adam Doupé της ASU SEFCOM
Mail Drafts
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Το αρχικό μήνυμα που αναφέρεται ενδέχεται να επιλεγεί από το λανθασμένο email κατά την προώθηση ενός email από έναν λογαριασμό Exchange
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-23498: Jose Lizandro Luevano
Η καταχώριση ενημερώθηκε την 1η Μαΐου 2023
Maps
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-23503: ένας ανώνυμος ερευνητής
Messages
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης μπορεί να στείλει ένα γραπτό μήνυμα από μια δευτερεύουσα eSIM παρά τη διαμόρφωση μιας επαφής ώστε να χρησιμοποιεί μια κύρια eSIM
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2023-28208: freshman
Η καταχώριση προστέθηκε στις 5 Σεπτεμβρίου 2023
Safari
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν ιστότοπο μπορεί να οδηγήσει σε άρνηση υπηρεσίας μιας εφαρμογής
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.
CVE-2023-23512: Adriatik Raci
Screen Time
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση στις πληροφορίες σχετικά με τις επαφές ενός χρήστη
Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2023-23505: Wojciech Reguła της SecuRing (wojciechregula.blog) και Csaba Fitzl (@theevilbit) της Offensive Security
Η καταχώριση ενημερώθηκε την 1η Μαΐου 2023
Weather
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2023-23511: Wojciech Regula της SecuRing (wojciechregula.blog), ένας ανώνυμος ερευνητής
WebKit
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Η καταχώριση προστέθηκε στις 28 Ιουνίου 2023
WebKit
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren και Hang Shu του Institute of Computing Technology, Chinese Academy of Sciences
WebKit
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) της Team ApplePIE
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) της Team ApplePIE
WebKit
Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα
Αποτέλεσμα: Ένα έγγραφο HTML ενδέχεται να έχει τη δυνατότητα να αποδίδει iframes με ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επιβολή sandbox iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Η καταχώριση προστέθηκε την 1η Μαΐου 2023
Επιπλέον αναγνώριση
Core Data
Θα θέλαμε να ευχαριστήσουμε τον Austin Emmitt (@alkalinesec), Senior Security Researcher του Trellix Advanced Research Center για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 8 Σεπτεμβρίου 2023
Kernel
Θα θέλαμε να ευχαριστήσουμε τον Nick Stenning της Replicate για τη βοήθειά του.
Shortcuts
Θα θέλαμε να ευχαριστήσουμε τον Baibhav Anand Jha από την ReconWithMe και τον Cristian Dinca του Tudor Vianu National High School of Computer Science, Romania για τη βοήθειά τους.
WebKit
Θα θέλαμε να ευχαριστήσουμε τον Eliya Stein της Confiant για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.