Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 15.7.1 ja iPadOS 15.7.1
Julkaistu 27.10.2022
Apple Neural Engine
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32932: Mohamed Ghannam (@_simo36)
Audio
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen äänitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42798: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
Backup
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä käyttämään iOS-varmuuskopioita.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2022-32929: Csaba Fitzl (@theevilbit, Offensive Security)
FaceTime
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: käyttäjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.
Kuvaus: lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-32935: Bistrit Dahal
Graphics Driver
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32939: Willy R. Vasquez (The University of Texas at Austin)
Image Processing
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32949: Tingting Yin (Tsinghua University)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-32944: Tim Michaud (@TimGMichaud, Moveworks.ai)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32926: Tim Michaud (@TimGMichaud, Moveworks.ai)
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-42827: nimetön tutkija
Kernel
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-42801: Ian Beer (Google Project Zero)
Model I/O
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) ja Yinyi Wu (Ant Security Light-Year Lab)
ppp
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Puskurin ylivuoto saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2022-32941: nimetön tutkija
Safari
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallisella verkkosivustolla käynti saattoi vuotaa arkaluontoisia tietoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42817: Mir Masood Ali (PhD-opiskelija, University of Illinois Chicago), Binoy Chitale (MS-opiskelija, Stony Brook University), Mohammad Ghasemisharif (PhD-tutkija, University of Illinois Chicago), Chris Kanich (associate professor, University of Illinois Chicago)
WebKit
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsittely saattoi paljastaa apin sisäisen tilan.
Kuvaus: JIT-oikeellisuuteen liittyvä ongelma ratkaistiin parantamalla tarkistuksia.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn, KAIST Hacking Lab)
Wi-Fi
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitalliseen Wi-Fi-verkkoon liittyminen saattoi johtaa Asetukset-apin palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32927: Dr Hideaki Goto (Tohoku University, Japani)
zlib
Saatavuus: iPhone 6s ja uudemmat, iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov