Tietoja iOS 16.6:n ja iPadOS 16.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 16.6:n ja iPadOS 16.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

iOS 16.6 ja iPadOS 16.6

Julkaistu 24.7.2023

Accessibility

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-40442: Nick Brook

Kohta lisätty 31.10.2023

Accounts

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-40439: Kirin (@Pwnrin)

Kohta lisätty 31.10.2023

Apple Neural Engine

Saatavuus: Apple Neural Engineä käyttävät laitteet: iPhone 8 ja uudemmat, iPad Pro (3. sukupolvi) ja uudemmat, iPad Air (3. sukupolvi) ja uudemmat, iPad mini (5. sukupolvi)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-34425: pattern-f (@pattern_F_, Ant Security Light-Year Lab)

CVE-2023-38136: Mohamed GHANNAM (@_simo36)

CVE-2023-38580: Mohamed GHANNAM (@_simo36)

Kohta päivitetty 31.10.2023

CFNetwork

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-40392: Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 31.10.2023

Find My

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-40437: Kirin (@Pwnrin) ja Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 31.10.2023

Find My

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2023-32416: Wojciech Regula (SecuRing, wojciechregula.blog)

ImageIO

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-3970: ongelman havaitsi OSS-Fuzz

Kohta lisätty 31.10.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-38590: Zweig (Kunlun Lab)

Kohta lisätty 27.7.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Kohta lisätty 27.7.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2023-36495: 香农的三蹦子 (Pangu Lab)

Kohta lisätty 27.7.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-38604: nimetön tutkija

Kohta lisätty 27.7.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-32734: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs SG Pte. Ltd.)

CVE-2023-38261: nimetön tutkija

CVE-2023-38424: Certik Skyfall Team

CVE-2023-38425: Certik Skyfall Team

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä muokkaamaan arkaluontoisia kernelin tilatietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) ja Boris Larin (@oct0xor) (Kaspersky)

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-32381: nimetön tutkija

CVE-2023-32433: Zweig (Kunlun Lab)

CVE-2023-35993: Kaitao Xie ja Xiaolong Bai (Alibaba Group)

CVE-2023-41995: Certik Skyfall Team ja pattern-f (@pattern_F_), Ant Security Light-Year Lab

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Kohta päivitetty 31.10.2023

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-38410: nimetön tutkija

Kernel

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-38603: Zweig (Kunlun Lab)

libpcap

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-40400: Sei K.

Kohta lisätty 31.10.2023

libxpc

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2023-38565: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

libxpc

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-38593: Noah Roskin-Frazee

Logging

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja

Kuvaus: Ongelma korjattiin parantamalla ympäristömuuttujien validointia.

CVE-2023-40394: Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 31.10.2023

NSURLSession

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään

Kuvaus: ongelma on ratkaistu parantamalla tiedostojen käsittelyprotokollaa.

CVE-2023-32437: Thijs Alkemade (Computest Sector 7)

Weather

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä määrittämään käyttäjän sijainnin.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-38605: Adam M.

Kohta lisätty 31.10.2023

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen javascript-koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 257824

CVE-2023-40397: Johan Carlsson (joaxcar)

Kohta lisätty 31.10.2023

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin ja Yuval Yarom

Kohta lisätty 27.7.2023

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: dokumentin käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

Kohta lisätty 27.7.2023

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

WebKit Bugzilla: 257331

CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt.) Ltd, Pune, Intia), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina ja Lorenzo Veronese (TU Wien)

Kohta lisätty 27.7.2023

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosivusto saattoi pystyä ohittamaan saman alkuperän käytännön.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 256549

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia)

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 256865

CVE-2023-38594: Yuhao Hu

WebKit Bugzilla: 256573

CVE-2023-38595: nimetön tutkija, Jiming Wang ja Jikai Ren

WebKit Bugzilla: 257387

CVE-2023-38600: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä nimetön henkilö

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 258058

CVE-2023-38611: Francisco Alonso (@revskills)

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 259231

CVE-2023-37450: nimetön tutkija

Tämä ongelma on ratkaistu iOS 16.5.1 (c)- ja iPadOS 16.5.1 (c) ‑pikaturvapäivityksissä.

WebKit

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 257684

CVE-2023-42866: Francisco Alonso (@revskills) ja Junsung Lee

Kohta lisätty 21.12.2023

WebKit-prosessimalli

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 258100

CVE-2023-38597: 이준성 (Junsung Lee, Cross Republic)

WebKit Web Inspector

Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 256932

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Kiitokset

Mail

Haluamme kiittää avusta Parvez Anwaria.

Screenshots

Haluamme kiittää avusta Dametto Lucaa, Casati Jacopoa, Eric Williamsia (@eric5310pub) ja Yannik Bloscheckia (yannikbloscheck.com).

Kohta lisätty 31.10.2023

WebKit

Haluamme kiittää Narendra Bhatia (@imnarendrabhati, Suma Soft Pvt. Ltd. India) hänen antamastaan avusta.

Kohta lisätty 31.10.2023

WebKit

Haluamme kiittää avusta Narendra Bhatia (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia).

Kohta lisätty 27.7.2023

WebRTC

Haluamme kiittää avusta nimetöntä tutkijaa.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: