Tietoja iOS 15.7.6:n ja iPadOS 15.7.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 15.7.6:n ja iPadOS 15.7.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

iOS 15.7.6 ja iPadOS 15.7.6

Julkaistu 18.5.2023

Accessibility

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-32388: Kirin (@Pwnrin)

Apple Neural Engine

Saatavuus: Apple Neural Engineä käyttävät laitteet: iPhone 8 ja uudemmat, iPad Pro (3. sukupolvi) ja uudemmat, iPad Air (3. sukupolvi) ja uudemmat, iPad mini (5. sukupolvi)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Saatavuus: Apple Neural Engineä käyttävät laitteet: iPhone 8 ja uudemmat, iPad Pro (3. sukupolvi) ja uudemmat, iPad Air (3. sukupolvi) ja uudemmat, iPad mini (5. sukupolvi)

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-32425: Mohamed Ghannam (@_simo36)

Kohta lisätty 21.12.2023

CoreCapture

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-28181: Tingting Yin (Tsinghua University)

ImageIO

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) yhteistyössä Trend Micro Zero Day Initiativen kanssa

IOSurface

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: eristetty appi saattoi pystyä tarkastelemaan järjestelmänlaajuisia verkkoyhteyksiä.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2023-32413: Trend Micro Zero Day Initiativen parissa työskentelevä Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv, @Synacktiv)

Kernel

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32398: Adam Doupé (ASU SEFCOM)

Metal

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

NetworkExtension

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-32403: Adam M.

Kohta päivitetty 21.12.2023

Photos

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: kumoaminen ravistamalla saattoi sallia poistetun kuvan ilmestyä takaisin ilman todentautumista

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-32365: Jiwon Park

Shell

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Shortcuts

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-32391: Wenchao Li ja Xiaolong Bai (Alibaba Group)

Telephony

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32412: Ivan Fratric (Google Project Zero)

TV App

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-32408: Adam M.

WebKit

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

WebKit Bugzilla: 254930

CVE-2023-28204: nimetön tutkija

WebKit

Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 254840

CVE-2023-32373: nimetön tutkija

Kiitokset

libxml2

Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).

Reminders

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Security

Haluamme kiittää avusta James Duffya (mangoSecure).

Wi-Fi

Kiitämme Adam M:ää hänen antamastaan avusta.

Kohta päivitetty 21.12.2023

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: