À propos des correctifs de sécurité d’iOS 16.7.2 et d’iPadOS 16.7.2

Ce document décrit les correctifs de sécurité d’iOS 16.7.2 et d’iPadOS 16.7.2.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iOS 16.7.2 et iPadOS 16.7.2

Publié le 25 octobre 2023

CoreAnimation

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : une app peut être à l’origine d’un déni de service.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-40449 : Tokics Tomi (@tomitokics) d’iTomsn0w

Core Recents

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par un nettoyage de la connexion.

CVE-2023-42823

Entrée ajoutée le 16 février 2024

Find My

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : une app peut être en mesure de lire des informations d’emplacement confidentielles.

Description : le problème a été résolu par une meilleure gestion des caches.

CVE-2023-40413 : Adam M.

ImageIO

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : le traitement d’une image peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-40416 : JZ

ImageIO

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : le traitement d’une image malveillante peut entraîner une corruption de tas.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2023-42848 : JZ

Entrée ajoutée le 16 février 2024

IOTextEncryptionFamily

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-40423 : un chercheur anonyme

Kernel

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : un attaquant ayant déjà réussi à exécuter le code du noyau peut être en mesure de contourner les limitations de la mémoire du noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-42849 : Linus Henze de Pinauten GmbH (pinauten.de)

libc

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : le traitement d’une entrée malveillante peut entraîner l’exécution arbitraire de code dans des apps installées par l’utilisateur.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-40446 : inooo

Entrée ajoutée le 3 novembre 2023

libxpc

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : une app malveillante peut être en mesure de bénéficier de privilèges racines.

Description : ce problème a été résolu par une meilleure gestion des liens symboliques.

CVE-2023-42942 : Mickey Jin (@patch1t)

Entrée ajoutée le 16 février 2024

Mail Drafts

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : la fonctionnalité Masquer mon adresse courriel peut être désactivée inopinément.

Description : un problème d’incohérence de l’interface utilisateur a été résolu par une meilleure gestion des états.

CVE-2023-40408 : Grzegorz Riegel

mDNSResponder

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : un périphérique pouvait faire l’objet d’un suivi passif via son adresse MAC Wi-Fi.

Description : le problème a été résolu par la suppression du code vulnérable.

CVE-2023-42846 : Talal Haj Bakry et Tommy Mysk de Mysk Inc. @mysk_co

Pro Res

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-42841 : Mingxuan Yang (@PPPF00L), happybabywu et Guang Gong du 360 Vulnerability Research Institute

Pro Res

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2023-42873 : Mingxuan Yang (@PPPF00L), ainsi que happybabywu et Guang Gong de 360 Vulnerability Research Institute

Entrée ajoutée le 16 février 2024

Safari

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : la consultation d’un site web malveillant peut faire apparaître l’historique de navigation.

Description : le problème a été résolu par une meilleure gestion des caches.

CVE-2023-41977 : Alex Renda

Siri

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : un attaquant qui dispose d’un accès physique peut être en mesure d’utiliser Siri pour accéder aux données sensibles des utilisateurs.

Description : ce problème a été résolu en limitant les options proposées sur un appareil verrouillé.

CVE-2023-41997 : Bistrit Dahal

CVE-2023-41982 : Bistrit Dahal

Entrée modifiée le 16 février 2024

Weather

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu grâce à l’amélioration de la définition des données personnelles pour la saisie.

CVE-2023-41254 : Cristian Dinca de l’École secondaire nationale d’informatique Tudor Vianu, Roumanie

WebKit

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : le mot de passe d’un utilisateur peut être lu à voix haute par VoiceOver.

Description : ce problème a été résolu par une amélioration de la rédaction des renseignements confidentiels.

WebKit Bugzilla : 248717

CVE-2023-32359 : Claire Houston

WebKit

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : le traitement du contenu web peut entraîner l’exécution arbitraire de code

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 259836

CVE-2023-40447 : 이준성 (Junsung Lee) de Cross Republic

WebKit

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : le traitement du contenu web peut entraîner l’exécution arbitraire de code

Description : un problème de logique a été résolu par de meilleures vérifications.

WebKit Bugzilla : 260173

CVE-2023-42852 : Pedro Ribeiro (@pedrib1337) et Vitor Pedreira (@0xvhp_) d’Agile Information Security

Entrée modifiée le 16 février 2024

WebKit

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : le traitement du contenu web peut entraîner l’exécution de code arbitraire.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 259890

CVE-2023-41976 : 이준성(Junsung Lee)

WebKit

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : la consultation d’un site web malveillant peut entraîner une utilisation détournée de la barre d’adresse.

Description : un problème d’incohérence de l’interface utilisateur a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 260046

CVE-2023-42843 : Kacper Kwapisz (@KKKas_)

Entrée ajoutée le 16 février 2024

WebKit Process Model

Disponible pour : iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et ultérieures, iPad 5e génération et ultérieures, et iPad mini 5e génération et modèles ultérieurs

Conséquence : le traitement d’un contenu Web peut entraîner un déni de service.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 260757

CVE-2023-41983 : 이준성(Junsung Lee)

Remerciements supplémentaires

libxml2

Nous tenons à remercier OSS-Fuzz et Ned Williamson de Project Zero de Google pour leur aide.

libarchive

Nous tenons à remercier Bahaa Naamneh pour son aide.

WebKit

Nous tenons à remercier un chercheur anonyme pour son aide.

WebKit

Nous tenons à remercier Gishan Don Ranasinghe et un chercheur anonyme pour leur aide.

Entrée ajoutée le 16 février 2024

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: