Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 15.7.8 ja iPadOS 15.7.8
Julkaistu 24.7.2023
Accessibility
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-40442: Nick Brook
Kohta lisätty 8.9.2023
Apple Neural Engine
Saatavuus: Apple Neural Engineä käyttävät laitteet: iPhone 8 ja uudemmat, iPad Pro (3. sukupolvi) ja uudemmat, iPad Air (3. sukupolvi) ja uudemmat, iPad mini (5. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-34425: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kohta lisätty 27.7.2023
Apple Neural Engine
Saatavuus: Apple Neural Engineä käyttävät laitteet: iPhone 8 ja uudemmat, iPad Pro (3. sukupolvi) ja uudemmat, iPad Air (3. sukupolvi) ja uudemmat, iPad mini (5. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CFNetwork
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-40392: Wojciech Regula (SecuRing, wojciechregula.blog)
Kohta lisätty 8.9.2023
Find My
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2023-32416: Wojciech Regula (SecuRing, wojciechregula.blog)
FontParser
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: Fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) ja Boris Larin (@oct0xor, Kaspersky)
Kohta lisätty 8.9.2023
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38603: Zweig (Kunlun Lab)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-38590: Zweig (Kunlun Lab)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Kohta lisätty 27.7.2023
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-38604: nimetön tutkija
Kohta lisätty 27.7.2023
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs SG Pte. Ltd.)
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä muokkaamaan arkaluonteisia kernelin tilatietoja. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) ja Boris Larin (@oct0xor) (Kaspersky)
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie ja Xiaolong Bai (Alibaba Group)
Kernel
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38603: Zweig (Kunlun Lab)
Kohta lisätty 22.12.2023
libxpc
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: Appi saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-38593: Noah Roskin-Frazee
Kohta lisätty 27.7.2023
libxpc
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi saada pääkäyttöoikeudet.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-38565: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Kohta lisätty 27.7.2023
Security
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä tallentamaan käyttäjän sormenjäljen.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42831: James Duffy (mangoSecure)
Kohta lisätty 22.12.2023
Weather
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: appi saattoi pystyä määrittämään käyttäjän sijainnin.
Kuvaus: Tämä ongelma ratkaistiin parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-38605: Adam M.
Kohta lisätty 8.9.2023
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: Verkkosivusto saattoi pystyä seuraamaan arkaluontoisia käyttäjätietoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin ja Yuval Yarom
Kohta lisätty 27.7.2023
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: dokumentin käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Kohta lisätty 27.7.2023
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 259231
CVE-2023-37450: nimetön tutkija
Kohta lisätty 27.7.2023
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: verkkosivusto saattoi pystyä ohittamaan saman alkuperän käytännön.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia)
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: etähyökkääjä saattoi pystyä poistumaan verkkosisällön eristyksestä. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Google Threat Analysis Group) ja Donncha Ó Cearbhaill (Amnesty Internationalin Security Lab)
WebKit
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Process Model
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성 (Junsung Lee, Cross Republic)
WebKit Web Inspector
Saatavuus: iPhone 6s (kaikki mallit), iPhone 7 (kaikki mallit), iPhone SE (1. sukupolvi), iPad Air 2, iPad mini (4. sukupolvi) ja iPod touch (7. sukupolvi)
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Kiitokset
Haluamme kiittää avusta Parvez Anwaria.
Screenshots
Haluamme kiittää avusta Eric Williamsia (@eric5310pub), Yannik Bloscheckia (yannikbloscheck.com), Dametto Lucaa ja Casati Jacopoa.
Kohta lisätty 8.9.2023
WebKit
Haluamme kiittää avusta Narendra Bhatia (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd, Pune, Intia).
Kohta lisätty 27.7.2023
WebRTC
Haluamme kiittää avusta nimetöntä tutkijaa.