Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 15.7.2 ja iPadOS 15.7.2
Julkaistu 13.12.2022
AppleAVD
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallisen videotiedoston jäsentäminen saattoi aiheuttaa kernel-koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-46694: Andrey Labunets ja Nikita Tarakanov
AVEVideoEncoder
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-42848: ABC Research s.r.o
File System
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä poistumaan eristyksestään
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-42861: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Graphics Driver
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallisen videotiedoston jäsentäminen saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42846: Willy R. Vasquez (The University of Texas at Austin)
IOHIDFamily
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2022-42864: Tommy Muir (@Muirey03)
iTunes Store
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: URL-osoitteiden jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2022-42837: Weijia Dai (@dwj1210, Momo Security)
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2022-46689: Ian Beer (Google Project Zero)
libxml2
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-40303: Maddie Stone (Google Project Zero)
libxml2
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-40304: Ned Williamson ja Nathan Wachholz (Google Project Zero)
ppp
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42840: nimetön tutkija
Preferences
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi kyetä käyttämään sattumanvaraisia valtuutuksia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Safari
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
TCC
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-46718: Michael (Biscuit) Thomas
Kohta lisätty 1.5.2023
Weather
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-46703: Wojciech Reguła (@_r3ggi, SecuRing) ja nimetön tutkija
Kohta lisätty 16.3.2023
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren ja Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
Kohta lisätty 16.3.2023
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)
Kohta lisätty 16.3.2023
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 245466
CVE-2022-46691: nimetön tutkija
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42852: hazbinhotel yhteistyössä Trend Micro Zero Day Initiativen kanssa
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Pro (kaikki mallit), iPad Air 2 ja uudemmat, iPad (5. sukupolvi ja uudemmat), iPad mini 4 ja uudemmat sekä iPod touch (7. sukupolvi)
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää ennen iOS 15.1:tä julkaistuja iOS-versioita vastaan.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne (Google's Threat Analysis Group)