Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 17.2 ja iPadOS 17.2
Julkaistu 11.12.2023
Accessibility
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42937: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)
Kohta lisätty 22.1.2024
Accounts
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia
Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.
CVE-2023-42896: Mickey Jin (@patch1t)
Kohta lisätty 22.3.2024
AVEVideoEncoder
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2023-42884: nimetön tutkija
Bluetooth
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä syöttämään näppäinpainalluksia väärentämällä näppäimistön.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-45866: Marc Newlin of SkySafe
Kohta lisätty 11.12.2023
Bluetooth
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä haitallisia Bluetooth-paketteja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42941: Christopher Reynolds
Kohta lisätty 10.1.2024
CallKit
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia
CVE-2023-42962: Aymane Chabat
Kohta lisätty 22.3.2024
Find My
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2023-42922: Wojciech Regula (SecuRing, wojciechregula.blog)
ImageIO
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin ja Junsung Lee
CVE-2023-42899: Meysam Firouzi (@R00tkitSMM) ja Junsung Lee
Kohta päivitetty 22.3.2024
ImageIO
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42888: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Kohta lisätty 22.1.2024
IOUSBDeviceFamily
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Kohta päivitetty 22.3.2024
Kernel
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv – @Synacktiv)
Libsystem
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.
Kuvaus: Käyttöoikeusongelma on korjattu poistamalla haavoittuvuuden aiheuttanut koodi ja lisäämällä tarkistuksia.
CVE-2023-42893
Kohta lisätty 22.3.2024
Safari Private Browsing
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Yksityisen selauksen välilehtiä voitiin käyttää ilman todennusta.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2023-42923: ARJUN S D
Sandbox
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.
CVE-2023-42936
Kohta lisätty 22.3.2024
Siri
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2023-42897: Andrew Goldberg (The McCombs School of Business, The University of Texas at Austin, linkedin.com/andrew-goldberg-/)
TCC
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2023-42947: Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)
Kohta lisätty 22.3.2024
WebKit
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute) ja rushikesh nandedkar
Kohta lisätty 22.3.2024
WebKit
iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Kohta lisätty 22.3.2024
Kiitokset
Safari Private Browsing
Haluamme kiittää avusta Signal Technology Foundationin Joshua Lundia ja Iakovos Guruliania.
Kohta päivitetty 22.3.2024
Setup Assistant
Haluamme kiittää Aaron Gregorya (Acoustic.com) ja Eastern Illinois University Graduate School of Technologya heidän avustaan.
WebKit
Haluamme kiittää avusta 椰椰.
WebSheet
Haluamme kiittää avusta e-phors S.p.A:n (FINCANTIERI S.p.A. -yhtiö) Paolo Ruggeroa.
Kohta lisätty 22.3.2024
Wi-Fi
Haluamme kiittää avusta Noah Roskin-Frazeeta ja Prof. J:tä (ZeroClicks.ai Lab).