Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 16.7.2 ja iPadOS 16.7.2
Julkaistu 25.10.2023
CoreAnimation
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40449: Tomi Tokics (@tomitokics, iTomsn0w)
Core Recents
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu tyhjentämällä kirjaaminen
CVE-2023-42823
Kohta lisätty 16.2.2024
Find My
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-40413: Adam M.
ImageIO
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40416: JZ
ImageIO
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42848: JZ
Kohta lisätty 16.2.2024
IOTextEncryptionFamily
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40423: nimetön tutkija
Kernel
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42849: Linus Henze (Pinauten GmbH, pinauten.de)
libc
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisten tietojen käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen käyttäjän asentamisessa apeissa.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-40446: inooo
Kohta lisätty 03.11.2023
libxpc
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallinen appi saattoi pystyä hankkimaan pääkäyttöoikeudet
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2023-42942: Mickey Jin (@patch1t)
Kohta lisätty 16.2.2024
Mail Drafts
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Kätke osoitteeni ‑toiminto saatettiin poistaa käytöstä odottamattomasti.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: laitetta saatettiin pystyä seuraamaan passiivisesti sen Wi-Fi-yhteyden MAC-osoitteen perusteella.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2023-42846: Talal Haj Bakry ja Tommy Mysk (Mysk Inc. @mysk_co)
Pro Res
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ja Guang Gong (360 Vulnerability Research Institute)
Pro Res
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) sekä happybabywu ja Guang Gong (360 Vulnerability Research Institute)
Kohta lisätty 16.2.2024
Safari
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisella verkkosivustolla käynti saattoi paljastaa selaushistorian.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2023-41977: Alex Renda
Siri
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.
Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Kohta päivitetty 16.2.2024
Weather
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-41254: Cristian Dinca (Tudor Vianu National High School of Computer Science, Romania)
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: VoiceOver saattoi lukea käyttäjän salasanan ääneen.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee, Cross Republic)
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) ja Vitor Pedreira (@0xvhp_), Agile Information Security
Kohta päivitetty 16.2.2024
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Kohta lisätty 16.2.2024
WebKit Process Model
Saatavuus: iPhone 8 ja uudemmat, iPad Pro (kaikki mallit), iPad Air (3. sukupolvi ja uudemmat), iPad (5. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Kiitokset
libxml2
Haluamme kiittää avusta OSS-Fuzzia ja Ned Williamsonia (Google Project Zero).
libarchive
Haluamme kiittää avusta Bahaa Naamnehia.
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.
WebKit
Haluamme kiittää Gishan Don Ranasinghea ja nimetöntä tutkijaa heidän antamastaan avusta.
Kohta lisätty 16.2.2024