À propos du contenu de sécurité d’iOS 15.7.1 et d’iPadOS 15.7.1

Ce document décrit le contenu de sécurité d’iOS 15.7.1 et d’iPadOS 15.7.1.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iOS 15.7.1 et iPadOS 15.7.1

Publié le 27 octobre 2022

Apple Neural Engine

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2022-32932 : Mohamed Ghannam (@_simo36)

Audio

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : l’analyse d’un fichier audio malveillant peut entraîner la divulgation d’informations utilisateur.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2022-42798 : un chercheur anonyme travaillant en collaboration avec le programme Zero Day Initiative de Trend Micro

Backup

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app peut être en mesure d’accéder aux sauvegardes d’iOS

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2022-32929 : Csaba Fitzl (@theevilbit) d’Offensive Security

FaceTime

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un utilisateur peut être en mesure d’afficher du contenu restreint à partir de l’écran de verrouillage.

Description : un problème lié à l’écran de verrouillage a été résolu par une meilleure gestion des états.

CVE-2022-32935 : Bistrit Dahal

Graphics Driver

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2022-32939 : Willy R. Vasquez de l’Université du Texas à Austin

Image Processing

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2022-32949 : Tingting Yin de l’Université de Tsinghua

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-32944 : Tim Michaud (@TimGMichaud) de Moveworks.ai

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de concurrence a été résolu par un meilleur verrouillage.

CVE-2022-42803 : Xinru Chi de Pangu Lab, John Aakerblom (@jaakerblom)

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app avec des privilèges liés à la racine peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2022-32926 : Tim Michaud (@TimGMichaud) de Moveworks.ai

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau. Apple a connaissance de l’exploitation active potentielle de cette faille de sécurité.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-42827 : un chercheur anonyme

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2022-42801 : Ian Beer de Google Project Zero

Model I/O

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un fichier USD malveillant peut entraîner la divulgation du contenu de la mémoire.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2022-42810 : Xingwei Lin (@xwlin_roy) et Yinyi Wu de l’Ant Security Light-Year Lab

ppp

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un problème de dépassement de mémoire tampon peut entraîner une exécution arbitraire de code.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2022-32941 : un chercheur anonyme

Safari

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : la consultation d’un site web malveillant peut entraîner la fuite de données confidentielles.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2022-42817 : Mir Masood Ali, étudiant en doctorat, Université de l’Illinois à Chicago; Binoy Chitale, étudiant en maîtrise, Université de Stony Brook; Mohammad Ghasemisharif, candidat au doctorat, Université de l’Illinois à Chicago; Chris Kanich, professeur agrégé, Université de l’Illinois à Chicago

WebKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation des couches internes de l’app

Description : un problème d’exactitude dans le JIT a été résolu grâce à une amélioration des vérifications.

WebKit Bugzilla : 242964
CVE-2022-32923 : Wonyoung Jung (@nonetype_pwn) du laboratoire de piratage KAIST

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : Une connexion à un réseau Wi-Fi malveillant peut entraîner un déni de service de l’app Réglages

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2022-32927 : Dr Hideaki Goto de l’Université de Tohoku, Japon

zlib

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad 5e génération et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un utilisateur peut être en mesure de provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2022-37434 : Evgeny Legerov

CVE-2022-42800 : Evgeny Legerov

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: