Tietoja iOS 16.5:n ja iPadOS 16.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 16.5:n ja iPadOS 16.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

iOS 16.5 ja iPadOS 16.5

Accessibility

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: tälle apille myönnettyjä oikeuksia ja tietosuojalupia saattoi käyttää myös haitallinen appi.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä saattoi pystyä vuotamaan käyttäjätilien sähköpostiosoitteita.

Kuvaus: lupaongelma on ratkaistu parantamalla arkaluonteisten tietojen sensurointia.

CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)

Apple Neural Engine

Saatavuus: Apple Neural Engineä käyttävät laitteet: iPhone 8 ja uudemmat, iPad Pro (3. sukupolvi) ja uudemmat, iPad Air (3. sukupolvi) ja uudemmat, iPad mini (5. sukupolvi)

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-32425: Mohamed GHANNAM (@_simo36)

AppleMobileFileIntegrity

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2023-32411: Mickey Jin (@patch1t)

Associated Domains

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-32371: James Duffy (mangoSecure)

Cellular

Saatavuus: iPhone 8 ja iPhone X

Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-32419: Amat Cama (Vigilant Labs)

Core Location

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-32399: Adam M.

CoreServices

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: Ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.

CVE-2023-28191: Mickey Jin (@patch1t)

GeoServices

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-32392: Adam M.

ImageIO

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32372: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) yhteistyössä Trend Micron Zero Day Initiativen kanssa

ImageIO

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2023-32384: Trend Micro Zero Day Initiativen parissa työskentelevä Meysam Firouzi (@R00tkitsmm)

IOSurfaceAccelerator

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32354: Linus Henze (Pinauten GmbH, pinauten.de)

IOSurfaceAccelerator

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32420: CertiK SkyFall Team ja Linus Henze (Pinauten GmbH (pinauten.de))

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-27930: 08Tc3wBB (Jamf)

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32398: Adam Doupé (ASU SEFCOM)

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2023-32413: Trend Micro Zero Day Initiativen parissa työskentelevä Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv, @Synacktiv)

LaunchServices

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi ohittaa Gatekeeper-tarkistukset.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-32352: Wojciech Reguła (@_r3ggi, SecuRing, wojciechregula.blog)

libxml2

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: libxml2:ssa esiintyi useita ongelmia.

Kuvaus: useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2023-29469: OSS-Fuzz ja Ned Williamson (Google Project Zero)

CVE-2023-42869: OSS-Fuzz ja Ned Williamson (Google Project Zero)

MallocStackLogging

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyä.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Metal

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: 3D-mallin käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Tämä ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.

CVE-2023-32403: Adam M.

NSURLSession

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyprotokollaa.

CVE-2023-32437: Thijs Alkemade (Computest Sector 7)

PDFKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: PDF-tiedoston avaaminen saattoi aiheuttaa apin lopettamisen odottamattomasti.

Kuvaus: Palvelunestohyökkäysongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-32385: Jonathan Fritz

Photos

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: kumoaminen ravistamalla saattoi sallia poistetun kuvan ilmestymisen takaisin ilman todentautumista.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-32365: Jiwon Park

Photos

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Kätketyt-albumissa olevia kuvia pystyi katselemaan ilman todennusta käyttämällä visuaalista hakua.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-32390: Julian Szulc

Sandbox

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Appi saattoi pystyä säilyttämään järjestelmän määritystietojen käyttöoikeudet, vaikka apin lupa kumottiin.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) ja Csaba Fitzl (@theevilbit, Offensive Security)

Security

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2023-32367: James Duffy (mangoSecure)

Share Sheet

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2023-32432: Kirin (@Pwnrin)

Shortcuts

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-32391: Wenchao Li ja Xiaolong Bai (Alibaba Group)

Shortcuts

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com) ja nimetön tutkija

Siri

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä katsomaan yhteystietoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-32394: Khiem Tran

SQLite

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu lisäämällä SQLite-lisäkirjauksen rajoituksia.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) ja Wojciech Reguła (SecuRing, wojciechregula.blog)

StorageKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: apin palomuuriasetus ei välttämättä tullut voimaan Asetukset-apista poistumisen jälkeen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-28202: Satish Panduranga ja nimetön tutkija

Telephony

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32412: Ivan Fratric (Google Project Zero)

TV App

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-32408: nimetön tutkija

Weather

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Tämä ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.

CVE-2023-32415: Wojciech Regula (SecuRing, wojciechregula.blog) ja Adam M.

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-32402: Ignacio Sanmillan (@ulexec)

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etähyökkääjä saattoi pystyä poistumaan verkkosisällön eristyksestä. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-32409: Clément Lecigne (Google's Threat Analysis Group) ja Donncha Ó Cearbhaill (Amnesty International’s Security Lab)

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-28204: nimetön tutkija

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32373: nimetön tutkija

Wi-Fi

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: Ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.

CVE-2023-32389: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Kiitokset

Accounts

Haluamme kiittää avusta Sergii Kryvoblotskyita (MacPaw Inc.).

CloudKit

Haluamme kiittää avusta Iconicia.

CFNetwork

Haluamme kiittää avusta Gabriel Geraldino de Souzaa.

Find My

Kiitämme Abhinav Thakuria, Artem Starovoitovia, Hodol K:ta ja nimetöntä tutkijaa heidän antamastaan avusta.

libxml2

Haluamme kiittää avusta OSS-Fuzzia sekä Ned Williamsonia (Google Project Zero).

Reminders

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Security

Haluamme kiittää avusta Brandon Tomsia.

Share Sheet

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Transporter

Haluamme kiittää avusta James Duffya (mangoSecure).

Wallet

Haluamme kiittää avusta James Duffya (mangoSecure).

WebRTC

Kiitämme PK Securityn Dohyun Leetä (@l33d0hyun) ja nimetöntä tutkijaa heidän antamastaan avusta.

Wi-Fi

Kiitämme Adam M:ää hänen antamastaan avusta.

Wi-Fi Connectivity

Kiitämme Adam M:ää hänen antamastaan avusta.