Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 16.7 και του iPadOS 16.7

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 16.7 και του iPadOS 16.7.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 16.7 και iPadOS 16.7

Κυκλοφόρησε στις 21 Σεπτεμβρίου 2023

App Store

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαφύγει από το sandbox περιεχομένου ιστού

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των πρωτοκόλλων.

CVE-2023-40448: w0wbox

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Ask to Buy

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-38612: Chris Ross (Zoom)

Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2023

Biometric Authentication

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2023-41232: Liang Wei της PixiePoint Security

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

CoreAnimation

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40420: 이준성(Junsung Lee) της Cross Republic

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Core Image

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επεξεργασμένες φωτογραφίες που έχουν αποθηκευτεί σε έναν προσωρινό κατάλογο

Περιγραφή: Ένα ζήτημα αντιμετωπίστηκε με βελτιωμένο χειρισμό προσωρινών αρχείων.

CVE-2023-40438: Wojciech Regula της SecuRing (wojciechregula.blog)

Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2023

Game Center

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επαφές

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μνημών cache.

CVE-2023-40395: Csaba Fitzl (@theevilbit) της Offensive Security

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Kernel

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Kernel

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-41981: Linus Henze της Pinauten GmbH (pinauten.de)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Kernel

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 16.7.

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-41992: Bill Marczak του Citizen Lab στο Munk School του University of Toronto και Maddie Stone του Google Threat Analysis Group

libxpc

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2023-41073: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

libxpc

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαγράψει αρχεία για τα οποία δεν έχει δικαιώματα

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2023-40454: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

libxslt

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) της PK Security

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

MobileStorageMounter

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2023-41068: Mickey Jin (@patch1t)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Passkeys

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορέσει να αποκτήσει πρόσβαση σε κλειδιά πρόσβασης χωρίς έλεγχο ταυτότητας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον ελέγχους δικαιωμάτων.

CVE-2023-40401: ένας ανώνυμος ερευνητής και weize she

Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2023

Pro Res

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2023-41063: Certik Skyfall Team

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Safari

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αναγνωρίσει ποιες άλλες εφαρμογές έχει εγκαταστήσει ο χρήστης

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-35990: Adriatik Raci της Sentry Cybersecurity

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Security

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει επικύρωση υπογραφής. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 16.7.

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα επικύρωσης πιστοποιητικού.

CVE-2023-41991: Bill Marczak του Citizen Lab στο Munk School του University of Toronto και Maddie Stone του Google Threat Analysis Group

Share Sheet

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα που καταγράφονται όταν ένας χρήστης κοινοποιεί έναν σύνδεσμο

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2023-41070: Kirin (@Pwnrin)

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

WebKit

Διατίθεται για: iPhone 8 και νεότερα μοντέλα, iPad Pro (όλα τα μοντέλα), iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 5ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι μπορεί να έχει γίνει ενεργή εκμετάλλευση αυτού του προβλήματος σε εκδόσεις του iOS πριν από το iOS 16.7.

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak του Citizen Lab στο Munk School του University of Toronto και Maddie Stone του Google Threat Analysis Group

 

Επιπλέον αναγνώριση

Apple Neural Engine

Θα θέλαμε να ευχαριστήσουμε τον pattern-f (@pattern_F_) της Security Light-Year Lab για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 22 Δεκεμβρίου 2023

AppSandbox

Θα θέλαμε να ευχαριστήσουμε τον χρήστη Kirin (@Pwnrin) για τη βοήθειά του.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

libxml2

Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Bill Marczak του The Citizen Lab στο The University of Toronto's Munk School και τη Maddie Stone του Google's Threat Analysis Group για τη βοήθειά τους.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Khiem Tran και Narendra Bhati από το Suma Soft Pvt. Ltd, Pune (Ινδία) για τη βοήθειά τους.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

WebRTC

Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή για τη βοήθειά του.

Η ενημέρωση προστέθηκε στις 26 Σεπτεμβρίου 2023

 

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: