Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-ID-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 16.7 ja iPadOS 16.7
Julkaistu 21.9.2023
App Store
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: etähyökkääjä saattoi pystyä poistumaan verkkosisällön eristyksestä
Kuvaus: ongelma on ratkaistu parantamalla protokollien käsittelyä.
CVE-2023-40448: w0wbox
Kohta lisätty 26.9.2023
Ask to Buy
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38612: Chris Ross (Zoom)
Kohta lisätty 22.12.2023
Biometric Authentication
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-41232: Liang Wei (PixiePoint Security)
Kohta lisätty 26.9.2023
CoreAnimation
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40420: 이준성 (Junsung Lee, Cross Republic)
Kohta lisätty 26.9.2023
Core Image
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään väliaikaiseen hakemistoon tallennettuja muokattuja kuvia.
Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-40438: Wojciech Regula (SecuRing, wojciechregula.blog)
Kohta lisätty 22.12.2023
Game Center
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Appi saattoi pystyä käyttämään yhteystietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40395: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 26.9.2023
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kohta lisätty 26.9.2023
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41981: Linus Henze (Pinauten GmbH, pinauten.de)
Kohta lisätty 26.9.2023
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 16.7 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41992: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)
libxpc
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-41073: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Kohta lisätty 26.9.2023
libxpc
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40454: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
Kohta lisätty 26.9.2023
libxslt
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)
Kohta lisätty 26.9.2023
MobileStorageMounter
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet
Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.
CVE-2023-41068: Mickey Jin (@patch1t)
Kohta lisätty 26.9.2023
Passkeys
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä saattoi pystyä käyttämään pääsyavaimia ilman todentautumista
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-40401: nimetön tutkija ja weize she
Kohta lisätty 22.12.2023
Pro Res
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41063: Certik Skyfall Team
Kohta lisätty 26.9.2023
Safari
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)
Kohta lisätty 26.9.2023
Security
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan allekirjoituksen vahvistuksen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti ennen iOS 16.7 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: Sertifikaatin varmistusongelma on ratkaistu.
CVE-2023-41991: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)
Share Sheet
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia tietoja, jotka kirjataan, kun käyttäjä jakaa linkin.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-41070: Kirin (@Pwnrin)
Kohta lisätty 26.9.2023
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti iOS 16.7:ää edeltävissä iOS-versioissa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stone (Google's Threat Analysis Group)
Kiitokset
Apple Neural Engine
Haluamme kiittää avusta käyttäjää pattern-f (@pattern_F_, Ant Security Light-Year Lab).
Kohta lisätty 22.12.2023
AppSandbox
Haluamme kiittää avusta Kirinia (@Pwnrin).
Kohta lisätty 26.9.2023
libxml2
Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).
Kohta lisätty 26.9.2023
Kernel
Haluamme kiittää avusta Bill Marczakia (The Citizen Lab, The University of Toronto's Munk School) ja Maddie Stonea (Google's Threat Analysis Group).
WebKit
Haluamme kiittää avusta Khiem Trania, Narendra Bhatia (Suma Soft Pvt. Ltd, Pune (Intia)).
Kohta lisätty 26.9.2023
WebRTC
Haluamme kiittää avusta nimetöntä tutkijaa.
Kohta lisätty 26.9.2023