Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 17 ja iPadOS 17
Julkaistu 18.9.2023
Accessibility
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä käyttämään yksityisiä kalenteritietoja VoiceOverin avulla.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-40529: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology Bhopal)
Kohta lisätty 22.12.2023
Airport
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja..
Kuvaus: lupaongelma on ratkaistu parantamalla arkaluonteisten tietojen sensurointia.
CVE-2023-40384: Adam M.
App Store
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: etähyökkääjä saattoi pystyä poistumaan verkkosisällön eristyksestä
Kuvaus: ongelma on ratkaistu parantamalla protokollien käsittelyä.
CVE-2023-40448: w0wbox
AppleMobileFileIntegrity
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-42872: Mickey Jin (@patch1t)
Kohta lisätty 22.12.2023
Apple Neural Engine
Saatavuus laitteille, joissa on Apple Neural Engine: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK, Baidu Security)
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-42871: Mohamed GHANNAM (@_simo36)
Kohta lisätty 22.12.2023
Apple Neural Engine
Saatavuus laitteille, joissa on Apple Neural Engine: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Saatavuus laitteille, joissa on Apple Neural Engine: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Saatavuus laitteille, joissa on Apple Neural Engine: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-40410: Tim Michaud (@TimGMichaud, Moveworks.ai)
Ask to Buy
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-38612: Chris Ross (Zoom)
Kohta lisätty 22.12.2023
AuthKit
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-32361: Csaba Fitzl (@theevilbit, Offensive Security)
Biometric Authentication
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2023-41232: Liang Wei (PixiePoint Security)
Bluetooth
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä, joka on fyysisesti laitteen lähellä, voi aiheuttaa rajoitettua rajojen ulkopuolista kirjoittamista.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-35984: zer0k
bootp
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-41065: Adam M., Noah Roskin-Frazee ja professori Jason Lau (ZeroClicks.ai Lab)
CFNetwork
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi ei välttämättä onnistunut vahvistamaan App Transport Security -vaatimuksia.
Kuvaus: ongelma on ratkaistu parantamalla protokollien käsittelyä.
CVE-2023-38596: Will Brattain (Trail of Bits)
CoreAnimation
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40420: 이준성 (Junsung Lee, Cross Republic)
Core Data
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-40528: Kirin (@Pwnrin, NorthSea)
Kohta lisätty 22.1.2024
Dev Tools
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-32396: Mickey Jin (@patch1t)
Face ID
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat) ja iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat)
Vaikutus: rekisteröityä käyttäjää muistuttamaan luotu 3D-malli saattoi pystyä tunnistautumaan Face ID:n avulla.
Kuvaus: ongelma ratkaistiin parantamalla Face ID:n naamioitumisen vastaisia malleja.
CVE-2023-41069: Zhice Yang (ShanghaiTech University)
Kohta lisätty 22.12.2023
FileProvider
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-41980: Noah Roskin-Frazee, Professor Jason Lau (ZeroClicks.ai Lab)
Game Center
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään yhteystietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40395: Csaba Fitzl (@theevilbit, Offensive Security)
GPU Drivers
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40431: Certik Skyfall Team
GPU Drivers
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40391: Antonio Zekic (@antoniozekic, Dataflow Security)
GPU Drivers
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2023-40441: Ron Masas, Imperva
iCloud Photo Library
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.
Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40434: Mikko Kenttälä (@Turmio_, SensorFu)
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2023-41995: Certik Skyfall Team ja pattern-f (@pattern_F_), Ant Security Light-Year Lab
CVE-2023-42870: Zweig (Kunlun Lab)
CVE-2023-41974: Félix Poulin-Bélanger
Kohta lisätty 22.12.2023
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41981: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2023-40429: Michael (Biscuit) Thomas ja 张师傅(@京东蓝军)
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41060: Joseph Ravichandran (@0xjprx, MIT CSAIL)
Kohta lisätty 22.12.2023
libpcap
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2023-40400: Sei K.
libxpc
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2023-40454: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
libxpc
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2023-41073: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)
libxslt
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)
Maps
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja..
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40427: Adam M. ja Wojciech Regula (SecuRing, wojciechregula.blog)
MobileStorageMounter
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.
CVE-2023-41068: Mickey Jin (@patch1t)
Music
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-41986: Gergely Kalman (@gergely_kalman)
Passkeys
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä saattoi pystyä käyttämään pääsyavaimia ilman todentautumista
Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.
CVE-2023-40401: weize she ja nimetön tutkija
Kohta lisätty 22.12.2023
Photos Storage
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään väliaikaiseen hakemistoon tallennettuja muokattuja kuvia.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Photos Storage
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42934: Wojciech Regula (SecuRing, wojciechregula.blog)
Kohta lisätty 22.12.2023
Pro Res
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-41063: Certik Skyfall Team
QuartzCore
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40422: Tomi Tokics (@tomitokics), iTomsn0w
Kohta lisätty 22.12.2023
Safari
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)
Safari
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen
Kuvaus: Ikkunoiden hallintaongelma ratkaistiin parantamalla tilan hallintaa.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd)
Kohta lisätty 22.12.2023
Sandbox
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia tietoja, jotka kirjataan, kun käyttäjä jakaa linkin.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
Siri
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40428: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology Bhopal)
StorageKit
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2023-41968: Mickey Jin (@patch1t) ja James Hutchins
TCC
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) ja Csaba Fitzl (@theevilbit, Offensive Security)
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) ja Dohyun Lee (@l33d0hyun, PK Security)
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Kohta lisätty 22.12.2023
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee, Cross Republic) ja Jie Ding (@Lime, HKUS3 Lab)
Kohta lisätty 22.12.2023
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) ja Jong Seong Kim (@nevul37) (AbyssLab) sekä zhunki
Kohta päivitetty 22.1.2024
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: VoiceOver saattoi lukea käyttäjän salasanan ääneen
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
Kohta lisätty 22.12.2023
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: etähyökkääjä saattoi pystyä katsomaan vuodettuja DNS-kyselyjä, kun Suojattu lähetys oli päällä.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
WebKit Bugzilla: 257303
CVE-2023-40385: nimetön
Kohta lisätty 22.12.2023
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) ja Jong Seong Kim (@nevul37) (AbyssLab)
Kohta lisätty 22.12.2023
Wi-Fi
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: Muistin vioittumisongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-38610: Wang Yu (Cyberserval)
Kohta lisätty 22.12.2023
Kiitokset
Accessibility
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).
Airport
Haluamme kiittää avusta Adam M.:ää, Noah Roskin-Frazeeta ja professori Jason Lauta (ZeroClicks.ai Lab).
Apple Neural Engine
Haluamme kiittää avusta käyttäjää pattern-f (@pattern_F_, Ant Security Light-Year Lab).
Kohta lisätty 22.12.2023
AppSandbox
Haluamme kiittää avusta Kirinia (@Pwnrin).
Audio
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
Bluetooth
Haluamme kiittää avusta Jianjun Daita ja Guang Gongia (360 Vulnerability Research Institute).
Books
Haluamme kiittää avusta Aapo Oksmania (Nixu Cybersecurity).
Control Center
Haluamme kiittää avusta Chester van den Bogaardia.
CoreMedia Playback
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
Data Detectors UI
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).
Draco
Haluamme kiittää David Coomberia hänen avustaan.
Find My
Haluamme kiittää avusta Cher Scarlettia.
Home
Haluamme kiittää avusta Jake Derouinia (jakederouin.com).
IOUserEthernet
Haluamme kiittää avusta Certik Skyfall ‑tiimiä.
Kohta lisätty 22.12.2023
Kernel
Haluamme kiittää avusta Bill Marczakia (The Citizen Lab, The University of Toronto's Munk School), Maddie Stonea (Google's Threat Analysis Group) ja tutkijaa 永超 王.
Keyboard
Haluamme kiittää avusta nimetöntä tutkijaa.
libxml2
Haluamme kiittää avusta OSS-Fuzzia sekä Ned Williamsonia (Google Project Zero).
libxpc
Haluamme kiittää avusta nimetöntä tutkijaa.
libxslt
Haluamme kiittää avusta Dohyun Leetä (@l33d0hyun, PK Security), OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).
Menus
Haluamme kiittää avusta Matthew Dentonia (Google Chrome Security).
Kohta lisätty 22.12.2023
Notes
Haluamme kiittää Lucas-Raphael Mülleriä hänen avustaan.
Notifications
Haluamme kiittää avusta Jiaxu Lita.
NSURL
Haluamme kiittää avusta Zhanpeng Zhaoa (行之) ja henkilöä 糖豆爸爸(@晴天组织).
Password Manager
Haluamme kiittää avusta Hidetoshi Nakamuraa.
Photos
Haluamme kiittää avusta Anatolii Kozlovia, Dawid Pałuskaa, Kiriniä (@Pwnrin), Lyndon Corneliusta ja Paul Lurinia.
Power Services
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
Quick Look
Haluamme kiittää avusta tutkijaa 이준성 (Junsung Lee, Cross Republic).
Kohta lisätty 22.12.2023
Safari
Haluamme kiittää avusta Kang Alia (Punggawa Cyber Security) ja andrew James gonzalezia.
Safari Private Browsing
Haluamme kiittää avusta Khiem Trania, Narendra Bhatia (Suma Soft Pvt. Ltd) ja nimetöntä tutkijaa.
Shortcuts
Haluamme kiittää avusta Alfie CG:tä, Christian Bastingia (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dincaa (Tudor Vianu National High School of Computer Science, Romania), Giorgos Christodoulidisia, Jubaer Alnazia (TRS Group Of Companies), KRISHAN KANT DWIVEDIa (@xenonx7) ja Matthew Butleria.
Kohta päivitetty 24.4.2024
Siri
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).
Software Update
Haluamme kiittää avusta Omar Simania.
Spotlight
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal) ja Dawid Pałuskaa.
Standby
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).
Status Bar
Haluamme kiittää avusta N:ää ja nimetöntä tutkijaa.
StorageKit
Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.
Weather
Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog).
Kohta lisätty 22.12.2023
WebKit
Haluamme kiittää avusta Khiem Trania, Narendra Bhatia (Suma Soft Pvt. Ltd) ja nimetöntä tutkijaa.
WebRTC
Haluamme kiittää avusta nimetöntä tutkijaa.
Wi-Fi
Haluamme kiittää avusta Wang Yuta (Cyberserval).