Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 16.4 ja iPadOS 16.4
Julkaistu 27.3.2023
Accessibility
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-23541: Csaba Fitzl (@theevilbit, Offensive Security)
App Store
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42830: nimetön tutkija
Kohta lisätty 31.10.2023
Apple Neural Engine
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CVE-2023-27959: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-27970: Mohamed GHANNAM
Apple Neural Engine
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-27931: Mickey Jin (@patch1t)
Calendar
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisen kalenterikutsun tuominen saattoi aiheuttaa käyttäjätietovuodon.
Kuvaus: Useita varmistusongelmia ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CarPlay
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2023-23494: Itay Iellin (General Motors Product Cyber Security)
ColorSync
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27955: JeongOhKyea
Core Bluetooth
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen Bluetooth-paketin käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-23528: Jianjun Dai ja Guang Gong (360 Vulnerability Research Institute)
CoreCapture
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-28181: Tingting Yin (Tsinghua University)
Find My
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-28195: Adam M.
CVE-2023-23537: Adam M.
Kohta päivitetty 21.12.2023
FontParser
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-32366: Ye Zhang (@VAR10CK, Baidu Security)
Kohta lisätty 31.10.2023
FontParser
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27956: Ye Zhang (@VAR10CK, Baidu Security)
Kohta päivitetty 31.10.2023
Foundation
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisen plist-tiedoston jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-27937: nimetön tutkija
iCloud
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Tiedosto iCloudin ”Jakaja: minä” -kansiosta saattoi pystyä ohittamaan Gatekeeperin.
Kuvaus: Ongelma on ratkaistu lisäämällä Gatekeeperiin tarkastuksia tiedostoille, jotka on ladattu iCloudin ”Jakaja: minä” -kansiosta.
CVE-2023-23526: Jubaer Alnazi (TRS Group of Companies)
Identity Services
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään tietoja käyttäjän yhteystiedoista.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-27928: Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23535: ryuzaki
ImageIO
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) ja jzhu yhteistyössä Trend Micro Zero Day Initiativen kanssa
ImageIO
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)
CVE-2023-42865: jzhu yhteistyössä Trend Micro Zero Day Initiativen ja Meysam Firouzin (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) kanssa
Kohta lisätty 21.12.2023
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: käyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kohta lisätty 31.10.2023
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)
Kohta lisätty 31.10.2023
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-32424: Zechao Cai (@Zech4o, Zhejiang University)
Kohta lisätty 31.10.2023
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-27933: sqrtpwn
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-23536: Félix Poulin-Bélanger ja David Pan Ogea
Kohta lisätty 1.5.2023 ja päivitetty 31.10.2023
LaunchServices
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Internetistä ladattuihin tiedostoihin ei välttämättä lisätty karanteeni-lippua.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-27943: nimetön tutkija, Brandon Dalton (@partyD0lphin, Red Canary), Milan Tenk ja Arthur Valiev (F-Secure Corporation)
Kohta päivitetty 31.10.2023
LaunchServices
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-23525: Mickey Jin (@patch1t)
libpthread
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41075: Zweig (Kunlun Lab)
Kohta lisätty 21.12.2023
Magnifier
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi pystyä tarkastelemaan suurennuslasissa viimeisimmäksi käytettyä kuvaa lukitusta näytöstä.
Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2022-46724: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology Bhopal)
Kohta lisätty 1.8.2023
NetworkExtension
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä huijaamaan VPN-palvelinta, joka oli määritetty vain EAP-todennuksella laitteessa.
Kuvaus: Ongelma on ratkaistu parantamalla tunnistautumista.
CVE-2023-28182: Zhuowei Zhang
Photos
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Kätketyt-albumissa olevia kuvia pystyi katselemaan ilman todennusta käyttämällä visuaalista hakua.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2023-23523: developStorm
Podcastit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-27942: Mickey Jin (@patch1t)
Safari
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä luomaan odottamatta kirjanmerkin Koti-valikkoon.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-28194: Anton Spivak
Sandbox
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) sekä Wenchao Li ja Xiaolong Bai (Alibaba Group)
TCC
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2023-28188: Xin Huang (@11iaxH)
Kohta lisätty 31.10.2023
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: yleismerkkejä sisältävien domainien estämiseen tarkoitettu sisältöturvallisuuskäytäntö saattoi epäonnistua.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken (imec-DistriNet, KU Leuven)
Kohta lisätty 31.10.2023
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kohta lisätty 1.8.2023
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment, Team ApplePIE)
Kohta lisätty 1.8.2023 ja päivitetty 21.12.2023
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää ennen iOS 15.7:ää julkaistuja iOS-versioita vastaan.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) ja Valentin Pashkov, Kaspersky
Kohta lisätty 21.6.2023, päivitetty 1.8.2023
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen verkkosisällön käsittely saattoi pystyä ohittamaan saman alkuperän käytännön
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 248615
CVE-2023-27932: nimetön tutkija
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Ongelma on ratkaistu poistamalla lähdetiedot.
WebKit Bugzilla: 250837
CVE-2023-27954: nimetön tutkija
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)
Kohta lisätty 1.5.2023 ja päivitetty 21.12.2023
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 249434
CVE-2014-1745: nimetön tutkija
Kohta lisätty 21.12.2023
WebKit PDF
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 249169
CVE-2023-32358: Trend Micron Zero Day Initiative ‑ohjelmassa työskentelevä nimetön henkilö
Kohta lisätty 1.8.2023
WebKit Web Inspector
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me, SSD Labs)
Kohta lisätty 1.5.2023
Kiitokset
Activation Lock
Haluamme kiittää Christian Minaa hänen avustaan.
CFNetwork
Haluamme kiittää avusta nimetöntä tutkijaa.
Core Location
Haluamme kiittää seuraavia henkilöitä heidän antamastaan avusta: IL, Diego Carvalho, Hamza Toğmuş, Liang Liu, Alex Tippets, WGM, Dennis, Dalton Gould, Alejandro Tejada Borges, Cosmin Iconaru, Chase Bigsby, Bikesh Bimali, Cal Rookard, Bashar Ajlani ja Robert Kott.
Kohta lisätty 1.5.2023
CoreServices
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
file_cmds
Haluamme kiittää Lukas Zronekia hänen avustaan.
Heimdal
Haluamme kiittää Evgeny Legerovia (Intevydis) hänen avustaan.
ImageIO
Haluamme kiittää Meysam Firouzia (@R00tkitSMM) hänen avustaan.
lldb
Haluamme kiittää avusta James Duffya (mangoSecure).
Kohta lisätty 1.5.2023
Haluamme kiittää seuraavia henkilöitä heidän antamastaan avusta: Chen Zhang, Fabian Ising (FH Münster University of Applied Sciences), Damian Poddebniak (FH Münster University of Applied Sciences), Tobias Kappert (Münster University of Applied Sciences), Christoph Saatjohann (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences) ja Merlin Chlosta (CISPA Helmholtz Center for Information Security).
Kohta päivitetty 1.5.2023
Viestit
Haluamme kiittää Idriss Riouakia, Anıl Özdiliä ja Gurusharan Singhiä heidän antamastaan avusta.
Kohta lisätty 1.5.2023
Password Manager
Haluamme kiittää OCA Creations LLC:tä ja Sebastian S. Andersenia heidän antamastaan avusta.
Kohta lisätty 1.5.2023
Safari Downloads
Haluamme kiittää Andrew Gonzalezia hänen avustaan.
Status Bar
Haluamme kiittää N:ää ja jiaxu li:tä heidän antamastaan avusta.
Kohta päivitetty 21.12.2023
Telephony
Haluamme kiittää avusta CheolJun Parkia (KAIST SysSec Lab).
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.
WebKit Web Inspector
Haluamme kiittää Dohyun Leetä (@l33d0hyun, SSD Labs) ja crixeriä (@pwning_me, SSD Labs) heidän avustaan.