Tietoja iOS 17:n ja iPadOS 17:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 17:n ja iPadOS 17:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

iOS 17 ja iPadOS 17

Julkaistu 18.9.2023

Accessibility

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä käyttämään yksityisiä kalenteritietoja VoiceOverin avulla.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-40529: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology Bhopal)

Kohta lisätty 22.12.2023

Airport

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja..

Kuvaus: lupaongelma on ratkaistu parantamalla arkaluonteisten tietojen sensurointia.

CVE-2023-40384: Adam M.

App Store

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etähyökkääjä saattoi pystyä poistumaan verkkosisällön eristyksestä

Kuvaus: ongelma on ratkaistu parantamalla protokollien käsittelyä.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2023-42872: Mickey Jin (@patch1t)

Kohta lisätty 22.12.2023

Apple Neural Engine

Saatavuus laitteille, joissa on Apple Neural Engine: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK, Baidu Security)

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Kohta lisätty 22.12.2023

Apple Neural Engine

Saatavuus laitteille, joissa on Apple Neural Engine: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Saatavuus laitteille, joissa on Apple Neural Engine: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Saatavuus laitteille, joissa on Apple Neural Engine: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (8. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-40410: Tim Michaud (@TimGMichaud, Moveworks.ai)

Ask to Buy

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-38612: Chris Ross (Zoom)

Kohta lisätty 22.12.2023

AuthKit

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-32361: Csaba Fitzl (@theevilbit, Offensive Security)

Biometric Authentication

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2023-41232: Liang Wei (PixiePoint Security)

Bluetooth

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä, joka on fyysisesti laitteen lähellä, voi aiheuttaa rajoitettua rajojen ulkopuolista kirjoittamista.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-35984: zer0k

bootp

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2023-41065: Adam M., Noah Roskin-Frazee ja professori Jason Lau (ZeroClicks.ai Lab)

CFNetwork

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi ei välttämättä onnistunut vahvistamaan App Transport Security -vaatimuksia.

Kuvaus: ongelma on ratkaistu parantamalla protokollien käsittelyä.

CVE-2023-38596: Will Brattain (Trail of Bits)

CoreAnimation

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40420: 이준성 (Junsung Lee, Cross Republic)

Core Data

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-40528: Kirin (@Pwnrin, NorthSea)

Kohta lisätty 22.1.2024

Dev Tools

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-32396: Mickey Jin (@patch1t)

Face ID

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat) ja iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat)

Vaikutus: rekisteröityä käyttäjää muistuttamaan luotu 3D-malli saattoi pystyä tunnistautumaan Face ID:n avulla.

Kuvaus: ongelma ratkaistiin parantamalla Face ID:n naamioitumisen vastaisia malleja.

CVE-2023-41069: Zhice Yang (ShanghaiTech University)

Kohta lisätty 22.12.2023

FileProvider

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-41980: Noah Roskin-Frazee, Professor Jason Lau (ZeroClicks.ai Lab)

Game Center

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään yhteystietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-40395: Csaba Fitzl (@theevilbit, Offensive Security)

GPU Drivers

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40431: Certik Skyfall Team

GPU Drivers

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40391: Antonio Zekic (@antoniozekic, Dataflow Security)

GPU Drivers

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2023-40441: Ron Masas, Imperva

iCloud Photo Library

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä tarkastelemaan käyttäjän Kuvat-kirjastoa.

Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-40434: Mikko Kenttälä (@Turmio_, SensorFu)

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2023-41995: Certik Skyfall Team ja pattern-f (@pattern_F_), Ant Security Light-Year Lab

CVE-2023-42870: Zweig (Kunlun Lab)

CVE-2023-41974: Félix Poulin-Bélanger

Kohta lisätty 22.12.2023

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-41981: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2023-40429: Michael (Biscuit) Thomas ja 张师傅(@京东蓝军)

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-41060: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kohta lisätty 22.12.2023

libpcap

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2023-40400: Sei K.

libxpc

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2023-40454: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

libxpc

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2023-41073: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab, xlab.tencent.com)

libxslt

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi paljastaa arkaluontoisia tietoja.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40403: Dohyun Lee (@l33d0hyun, PK Security)

Maps

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja..

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-40427: Adam M. ja Wojciech Regula (SecuRing, wojciechregula.blog)

MobileStorageMounter

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2023-41068: Mickey Jin (@patch1t)

Music

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

Passkeys

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: hyökkääjä saattoi pystyä käyttämään pääsyavaimia ilman todentautumista

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2023-40401: weize she ja nimetön tutkija

Kohta lisätty 22.12.2023

Photos Storage

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään väliaikaiseen hakemistoon tallennettuja muokattuja kuvia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Photos Storage

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: tietojen paljastumiseen liittyvä ongelma ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-42934: Wojciech Regula (SecuRing, wojciechregula.blog)

Kohta lisätty 22.12.2023

Pro Res

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2023-40422: Tomi Tokics (@tomitokics), iTomsn0w

Kohta lisätty 22.12.2023

Safari

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)

Safari

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen

Kuvaus: Ikkunoiden hallintaongelma ratkaistiin parantamalla tilan hallintaa.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati, Suma Soft Pvt. Ltd)

Kohta lisätty 22.12.2023

Sandbox

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia tietoja, jotka kirjataan, kun käyttäjä jakaa linkin.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

Siri

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2023-40428: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology Bhopal)

StorageKit

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2023-41968: Mickey Jin (@patch1t) ja James Hutchins

TCC

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) ja Csaba Fitzl (@theevilbit, Offensive Security)

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) ja Dohyun Lee (@l33d0hyun, PK Security)

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Kohta lisätty 22.12.2023

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee, Cross Republic) ja Jie Ding (@Lime, HKUS3 Lab)

Kohta lisätty 22.12.2023

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) ja Jong Seong Kim (@nevul37) (AbyssLab) sekä zhunki

Kohta päivitetty 22.1.2024

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: VoiceOver saattoi lukea käyttäjän salasanan ääneen

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Kohta lisätty 22.12.2023

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: etähyökkääjä saattoi pystyä katsomaan vuodettuja DNS-kyselyjä, kun Suojattu lähetys oli päällä.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

WebKit Bugzilla: 257303
CVE-2023-40385: nimetön

Kohta lisätty 22.12.2023

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: oikeellisuusongelma on ratkaistu parantamalla tarkistuksia.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) ja Jong Seong Kim (@nevul37) (AbyssLab)

Kohta lisätty 22.12.2023

Wi-Fi

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: Muistin vioittumisongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2023-38610: Wang Yu (Cyberserval)

Kohta lisätty 22.12.2023

 

Kiitokset

Accessibility

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).

Airport

Haluamme kiittää avusta Adam M.:ää, Noah Roskin-Frazeeta ja professori Jason Lauta (ZeroClicks.ai Lab).

Apple Neural Engine

Haluamme kiittää avusta käyttäjää pattern-f (@pattern_F_, Ant Security Light-Year Lab). 

Kohta lisätty 22.12.2023

AppSandbox

Haluamme kiittää avusta Kirinia (@Pwnrin).

Audio

Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.

Bluetooth

Haluamme kiittää avusta Jianjun Daita ja Guang Gongia (360 Vulnerability Research Institute).

Books

Haluamme kiittää avusta Aapo Oksmania (Nixu Cybersecurity).

Control Center

Haluamme kiittää avusta Chester van den Bogaardia.

CoreMedia Playback

Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan. 

Data Detectors UI

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).

Draco

Haluamme kiittää David Coomberia hänen avustaan.

Find My

Haluamme kiittää avusta Cher Scarlettia.

Home

Haluamme kiittää avusta Jake Derouinia (jakederouin.com).

IOUserEthernet

Haluamme kiittää avusta Certik Skyfall ‑tiimiä.

Kohta lisätty 22.12.2023

Kernel

Haluamme kiittää avusta Bill Marczakia (The Citizen Lab, The University of Toronto's Munk School), Maddie Stonea (Google's Threat Analysis Group) ja tutkijaa 永超 王.

Keyboard

Haluamme kiittää avusta nimetöntä tutkijaa.

libxml2

Haluamme kiittää avusta OSS-Fuzzia sekä Ned Williamsonia (Google Project Zero).

libxpc

Haluamme kiittää avusta nimetöntä tutkijaa.

libxslt

Haluamme kiittää avusta Dohyun Leetä (@l33d0hyun, PK Security), OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).

Menus

Haluamme kiittää avusta Matthew Dentonia (Google Chrome Security).

Kohta lisätty 22.12.2023

Notes

Haluamme kiittää Lucas-Raphael Mülleriä hänen avustaan.

Notifications

Haluamme kiittää avusta Jiaxu Lita.

NSURL

Haluamme kiittää avusta Zhanpeng Zhaoa (行之) ja henkilöä 糖豆爸爸(@晴天组织).

Password Manager

Haluamme kiittää avusta Hidetoshi Nakamuraa.

Photos

Haluamme kiittää avusta Anatolii Kozlovia, Dawid Pałuskaa, Kiriniä (@Pwnrin), Lyndon Corneliusta ja Paul Lurinia.

Power Services

Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.

Quick Look

Haluamme kiittää avusta tutkijaa 이준성 (Junsung Lee, Cross Republic).

Kohta lisätty 22.12.2023

Safari

Haluamme kiittää avusta Kang Alia (Punggawa Cyber Security) ja andrew James gonzalezia.

Safari Private Browsing

Haluamme kiittää avusta Khiem Trania, Narendra Bhatia (Suma Soft Pvt. Ltd) ja nimetöntä tutkijaa.

Shortcuts

Haluamme kiittää avusta Alfie CG:tä, Christian Bastingia (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dincaa (Tudor Vianu National High School of Computer Science, Romania), Giorgos Christodoulidisia, Jubaer Alnazia (TRS Group Of Companies), KRISHAN KANT DWIVEDIa (@xenonx7) ja Matthew Butleria.

Kohta päivitetty 24.4.2024

Siri

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal).

Software Update

Haluamme kiittää avusta Omar Simania.

Spotlight

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal) ja Dawid Pałuskaa.

Standby

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal). 

Status Bar

Haluamme kiittää avusta N:ää ja nimetöntä tutkijaa.

StorageKit

Haluamme kiittää Mickey Jinia (@patch1t) hänen avustaan.

Weather

Haluamme kiittää avusta Wojciech Regulaa (SecuRing, wojciechregula.blog).

Kohta lisätty 22.12.2023

WebKit

Haluamme kiittää avusta Khiem Trania, Narendra Bhatia (Suma Soft Pvt. Ltd) ja nimetöntä tutkijaa.

WebRTC

Haluamme kiittää avusta nimetöntä tutkijaa.

Wi-Fi

Haluamme kiittää avusta Wang Yuta (Cyberserval).

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: