Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 16
Julkaistu 12.9.2022
Accelerate Framework
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42795: ryuzaki
Kohta lisätty 27.10.2022
AppleAVD
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) ja nimetön tutkija
Kohta lisätty 27.10.2022
AppleAVD
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Kohta lisätty 27.10.2022
AppleMobileFileIntegrity
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.
CVE-2022-32877: Wojciech Reguła (@_r3ggi), SecuRing
Kohta lisätty 16.3.2023
Apple Neural Engine
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Kohta lisätty 27.10.2022
Apple Neural Engine
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Kohta lisätty 27.10.2022
Apple TV
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2022-32909: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 27.10.2022
Contacts
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Appi saattoi pystyä ohittamaan yksityisyysasetukset.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
Crash Reporter
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä lukemaan aiempia diagnostiikkalokeja.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-32867: Kshitij Kumar ja Jai Musunuri (Crowdstrike)
Kohta lisätty 27.10.2022
DriverKit
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32865: Linus Henze (Pinauten GmbH, pinauten.de)
Kohta lisätty 27.10.2022
Exchange
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä sieppaamaan postitunnistetiedot.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)
Kohta lisätty 27.10.2022, päivitetty 16.3.2023
FaceTime
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Käyttäjä saattoi tietämättään lähettää ääntä tai videokuvaa FaceTime-puhelussa.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-22643: Sonali Luthar (the University of Virginia), Michael Liao (the University of Illinois at Urbana-Champaign), Rohan Pahwa (Rutgers University) ja Bao Nguyen (University of Florida)
Kohta lisätty 16.3.2023
GPU Drivers
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: useita rajojen ulkopuolisen muistin kirjoitusongelmia ratkaistiin parantamalla rajojen tarkistusta.
CVE-2022-32793: nimetön tutkija
Kohta lisätty 16.3.2023
GPU Drivers
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26744: nimetön tutkija
Kohta lisätty 27.10.2022
GPU Drivers
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-32903: nimetön tutkija
Kohta lisätty 27.10.2022
ImageIO
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.
CVE-2022-1622
Kohta lisätty 27.10.2022
Image Processing
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kohta lisätty 27.10.2022
IOGPUFamily
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32887: nimetön tutkija
Kohta lisätty 27.10.2022
Kernel
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2022-32916: Pan ZhenPeng (STAR Labs SG Pte. Ltd.)
Kohta lisätty 9.11.2022
Kernel
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-32914: Zweig (Kunlun Lab)
Kohta lisätty 27.10.2022
Kernel
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Kohta päivitetty 27.10.2022
Kernel
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32917: nimetön tutkija
Maps
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32908: nimetön tutkija
Notifications
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32879: Ubeydullah Sümer
Kohta lisätty 27.10.2022
Photos
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset.
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan (Pune, India)
Kohta lisätty 27.10.2022, päivitetty 16.3.2023
Safari
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32795: Narendra Bhati (Suma Soft Pvt. Ltd. Pune (India), @imnarendrabhati)
Safari Extensions
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Verkkosivusto saattoi pystyä seuraamaan käyttäjiä Safari-verkkolaajennusten kautta.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Sandbox
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 27.10.2022
Security
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoitustarkistukset.
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)
Kohta lisätty 27.10.2022
Shortcuts
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää kuvia lukitulta näytöltä.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32872: Elite Tech Guru
Sidecar
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42790: Om Kothawade (Zaprico Digital)
Kohta lisätty 27.10.2022
Siri
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää Siriä yksityisten kalenteritietojen saamiseen.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32871: Amit Prajapat (Payatu Security Consulting Private Limited)
Kohta lisätty 16.3.2023
Siri
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää Siriä joidenkin puheluhistoriatietojen saamiseen.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas at Austin, linkedin.com/andrew-goldberg-/)
Kohta lisätty 27.10.2022
Software Update
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2022-42791: Mickey Jin (@patch1t, Trend Micro)
Kohta lisätty 9.11.2022
SQLite
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-36690
Kohta lisätty 27.10.2022
Time Zone
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: Poistetut yhteystiedot saattoivat edelleen näkyä Spotlight-hakutuloksissa.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32859
Kohta lisätty 27.10.2022
Watch app
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan pysyvän laitetunnisteen
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Kohta lisätty 27.10.2022
Weather
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32875: nimetön tutkija
Kohta lisätty 27.10.2022
WebKit
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: vieras käyttäjä saattoi päästä selaushistoriaan luvatta.
Kuvaus: ongelma liittyi verkkosivustojen tietojen tallennuksessa käytettäviin tiedostopolkuihin, ja se on korjattu parantamalla verkkosivustojen tietojen tallennustapaa.
CVE-2022-32833: Csaba Fitzl (@theevilbit, Offensive Security), Jeff Johnson
Kohta lisätty 9.11.2022
WebKit
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Kohta lisätty 27.10.2022
WebKit
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.
Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 ja nimetön tutkija
Kohta lisätty 27.10.2022
WebKit
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) yhteistyössä Trend Micron Zero Day Initiativen kanssa
WebKit Sandboxing
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: käyttöoikeusongelma ratkaistiin parantamalla eristystä.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 ja @jq0904 (DBAppSecurity's WeBin Lab)
Kohta lisätty 27.10.2022
Wi-Fi
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-46709: Wang Yu (Cyberserval)
Kohta lisätty 16.3.2023
Wi-Fi
Saatavuus: iPhone 8 ja uudemmat
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32925: Wang Yu (Cyberserval)
Kohta lisätty 27.10.2022
Kiitokset
AirDrop
Haluamme kiittää Alexander Heinrichia, Milan Stutea ja Christian Weinertiä (Darmstadtin teknillinen yliopisto) heidän avustaan.
Kohta lisätty 27.10.2022
AppleCredentialManager
Haluamme kiittää käyttäjää @jonathandata1 hänen avustaan.
Kohta lisätty 27.10.2022
Calendar UI
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).
Kohta lisätty 27.10.2022
CoreGraphics
Haluamme kiittää Simon de Vegtiä hänen avustaan.
Kohta lisätty 9.11.2022
FaceTime
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Kohta lisätty 27.10.2022
Find My
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Kohta lisätty 27.10.2022
Game Center
Haluamme kiittää Joshua Jonesia hänen avustaan.
iCloud
Haluamme kiittää Bülent Aytulunia ja nimetöntä tutkijaa heidän avustaan.
Kohta lisätty 27.10.2022
Identity Services
Haluamme kiittää Joshua Jonesia hänen antamastaan avusta.
Kernel
Haluamme kiittää Pan ZhenPengiä (@Peterpan0927), Tingting Yinia (Tsinghua University) ja Min Zhengiä (Ant Group) sekä nimetöntä tutkijaa heidän avustaan.
Kohta lisätty 27.10.2022
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Kohta lisätty 27.10.2022
Notes
Haluamme kiittää Edward Rileya (Iron Cloud Limited, ironclouduk.com) hänen avustaan.
Kohta lisätty 27.10.2022
Photo Booth
Haluamme kiittää Dremion Prashanth Kannania hänen avustaan.
Kohta lisätty 27.10.2022
Safari
Haluamme kiittää Scott Hatfieldia (Sub-Zero Group) hänen avustaan.
Kohta lisätty 16.3.2023
Sandbox
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
Kohta lisätty 27.10.2022
Shortcuts
Haluamme kiittää Shay Droria hänen antamastaan avusta.
Kohta lisätty 27.10.2022
SOS
Haluamme kiittää Xianfeng Lua ja Lei Aia (OPPO Amber Security Lab) heidän avustaan.
Kohta lisätty 27.10.2022
UIKit
Haluamme kiittää Aleczander Ewingia, Simon de Vegtia ja nimetöntä tutkijaa heidän avustaan.
Kohta lisätty 27.10.2022
WebKit
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Kohta lisätty 27.10.2022
WebRTC
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Kohta lisätty 27.10.2022