Tietoja iOS 16.7:n ja iPadOS 16.7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 16.7:n ja iPadOS 16.7:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

iOS 16.7 ja iPadOS 16.7

Julkaistu 21.9.2023

App Store

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etähyökkääjä saattoi pystyä poistumaan verkkosisällön eristyksestä

Kuvaus: ongelma on ratkaistu parantamalla protokollien käsittelyä.

CVE-2023-40448: w0wbox

Kohta lisätty 26.9.2023

Ask to Buy

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-38612: Chris Ross (Zoom)

Kohta lisätty 22.12.2023

Biometric Authentication

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2023-41232: Liang Wei (PixiePoint Security)

Kohta lisätty 26.9.2023

CoreAnimation

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40420: 이준성 (Junsung Lee, Cross Republic)

Kohta lisätty 26.9.2023

Core Image

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään väliaikaiseen hakemistoon tallennettuja muokattuja kuvia.

Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2023-40438: Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 22.12.2023

Game Center

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Appi saattoi pystyä käyttämään yhteystietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-40395: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 26.9.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Kohta lisätty 26.9.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-41981: Linus Henze (Pinauten GmbH, pinauten.de)

Kohta lisätty 26.9.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 16.7 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-41992: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)

libxpc

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-41073: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

Kohta lisätty 26.9.2023

libxpc

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-40454: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

Kohta lisätty 26.9.2023

libxslt

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)

Kohta lisätty 26.9.2023

MobileStorageMounter

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2023-41068: Mickey Jin (@patch1t)

Kohta lisätty 26.9.2023

Passkeys

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä saattoi pystyä käyttämään pääsyavaimia ilman todentautumista

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2023-40401: nimetön tutkija ja weize she

Kohta lisätty 22.12.2023

Pro Res

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-41063: Certik Skyfall Team

Kohta lisätty 26.9.2023

Safari

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)

Kohta lisätty 26.9.2023

Security

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Haittaohjelma saattoi pystyä ohittamaan allekirjoituksen vahvistuksen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 16.7 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: Sertifikaatin varmistusongelma on ratkaistu.

CVE-2023-41991: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)

Share Sheet

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia tietoja, jotka kirjataan, kun käyttäjä jakaa linkin.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-41070: Kirin (@Pwnrin)

Kohta lisätty 26.9.2023

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti iOS 16.7:ää edeltävissä iOS-versioissa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 261544

CVE-2023-41993: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)

Kiitokset

Apple Neural Engine

Haluamme kiittää avusta käyttäjää pattern-f (@pattern_F_, Ant Security Light-Year Lab).

Kohta lisätty 22.12.2023

AppSandbox

Haluamme kiittää avusta Kirinia (@Pwnrin).

Kohta lisätty 26.9.2023

libxml2

Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).

Kohta lisätty 26.9.2023

Kernel

Haluamme kiittää avusta Bill Marczakia (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stonea (Google's Threat Analysis Group).

WebKit

Haluamme kiittää avusta Khiem Trania, Narendra Bhatia (Suma Soft Pvt. Ltd, Pune (Intia)).

Kohta lisätty 26.9.2023

WebRTC

Haluamme kiittää avusta nimetöntä tutkijaa.

Kohta lisätty 26.9.2023

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: