Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 15.5 ja iPadOS 15.5
Julkaistu 16.5.2022
AppleAVD
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26702: nimetön tutkija, Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)
Kohta päivitetty 16.3.2023
AppleGraphicsControl
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-26751: Michael DePlante (@izobashi) – Trend Micro Zero Day Initiative
AVEVideoEncoder
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26736: nimetön tutkija
CVE-2022-26737: nimetön tutkija
CVE-2022-26738: nimetön tutkija
CVE-2022-26739: nimetön tutkija
CVE-2022-26740: nimetön tutkija
DriverKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuoliseen muistin käyttöön liittyvä ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26763: Linus Henze – Pinauten GmbH (pinauten.de)
FaceTime
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.
CVE-2022-32781: Wojciech Reguła (@_r3ggi, SecuRing)
Kohta lisätty 6.7.2022
GPU Drivers
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26744: nimetön tutkija
ImageIO
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: lokonaisluvun ylivuoto-ongela on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-26711: actae0n (Blacksun Hackers Club) yhteistyössä Trend Micro Zero Day Initiativen kanssa
IOKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2022-26701: chenyuwang (@mzzzz__) – Tencent Security Xuanwu Lab
IOSurfaceAccelerator
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26771: nimetön tutkija
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) – STAR Labs (@starlabs_sg)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26757: Ned Williamson – Google Project Zero
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26764: Linus Henze – Pinauten GmbH (pinauten.de)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: Kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2022-26765: Linus Henze – Pinauten GmbH (pinauten.de)
LaunchServices
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: käyttöongelma on ratkaistu lisäämällä muiden valmistajien sovellusten eristysrajoituksia.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
Kohta päivitetty 6.7.2022
libresolv
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-26775: Max Shavrick (@_mxms) – Google Security Team
Kohta lisätty 21.6.2022
libresolv
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26708: Max Shavrick (@_mxms) – Google Security Team
Kohta lisätty 21.6.2022
libresolv
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32790: Max Shavrick (@_mxms, Google Security Team)
Kohta lisätty 21.6.2022
libresolv
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26776: Max Shavrick (@_mxms, Google Security Team), Zubair Ashraf (Crowdstrike)
Kohta lisätty 21.6.2022
libxml2
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-23308
Huomautukset
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Suuren annetun tietomäärän käsittely saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-22673: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology Bhopal)
Safarin yksityinen selaus
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-26731: nimetön tutkija
Security
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan allekirjoituksen vahvistuksen.
Kuvaus: varmenteiden jäsennysongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26766: Linus Henze – Pinauten GmbH (pinauten.de)
Shortcuts
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää kuvia lukitulta näytöltä.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2022-26703: Salman Syed (@slmnsd551)
Spotlight
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) ja Joshua Mason (Mandiant)
Kohta lisätty 21.12.2023
TCC
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä ohittamaan yksityisyysasetukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Kohta lisätty 16.3.2023
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou (ShuiMuYuLin Ltd) ja Tsinghua WingTecher Lab
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou (ShuiMuYuLin Ltd) ja Tsinghua WingTecher Lab
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin – Theori
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) – Kunlun Lab
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao yhteistyössä Venustechin ADLabin kanssa
WebRTC
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: webRTC-puhelun oman videon esikatselu saattoi keskeytyä, jos käyttäjä vastasi puheluun.
Kuvaus: Samanaikaisen median käsittelyn logiikkaongelma on ratkaistu parantamalla tilankäsittelyä.
WebKit Bugzilla: 237524
CVE-2022-22677: nimetön tutkija
Wi-Fi
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haittaohjelma saattoi paljastaa rajoitetun muistin.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26745: Scarlet Raine
Kohta päivitetty 6.7.2022
Wi-Fi
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26760: 08Tc3wBB (ZecOps Mobile EDR Team)
Wi-Fi
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2015-4142: Kostya Kortchinsky (Google Security Team)
Wi-Fi
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-26762: Wang Yu – Cyberserval
Kiitokset
AppleMobileFileIntegrity
Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing) hänen avustaan.
FaceTime
Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing) hänen avustaan.
FileVault
Haluamme kiittää Promon Germany GmbH:n Benjamin Adolphia hänen avustaan.
Kohta lisätty 16.3.2023
WebKit
Haluamme kiittää James Leetä ja nimetöntä tutkijaa heidän antamastaan avusta.
Kohta päivitetty 25.5.2022
Wi-Fi
Haluamme kiittää ZecOps Mobile EDR Teamin 08Tc3wBB:tä hänen antamastaan avusta.