מידע על תוכן האבטחה של iOS 16.7.2 ושל iPadOS 16.7.2
מסמך זה מתאר את תוכן האבטחה של iOS 16.7.2 ושל iPadOS 16.7.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 16.7.2 ו-iPadOS 16.7.2
פורסם ב-25 באוקטובר 2023
CoreAnimation
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40449: Tomi Tokics (@tomitokics) מ-iTomsn0w
Core Recents
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה נפתרה באמצעות סניטציה של רישום
CVE-2023-42823
הרשומה נוספה ב-16 בפברואר 2024
Find My
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-40413: Adam M.
ImageIO
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40416: JZ
ImageIO
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-42848: JZ
הרשומה נוספה ב-16 בפברואר 2024
IOTextEncryptionFamily
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-40423: חוקר אנונימי
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-42849: Linus Henze מ-Pinauten GmbH (pinauten.de)
libc
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של קלט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי ביישומים שהמשתמש מתקין
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-40446: inooo
הרשומה נוספה ב‑3 בנובמבר 2023
libxpc
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: אפליקציה זדונית עלולה להצליח לקבל הרשאות בסיס
תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.
CVE-2023-42942: Mickey Jin (@patch1t)
הרשומה נוספה ב-16 בפברואר 2024
Mail Drafts
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ייתכן שהאפשרות 'הסתרת הדוא"ל שלי' תושבת באופן בלתי צפוי
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-42846: Talal Haj Bakry ו-Tommy Mysk מ-Mysk Inc. @mysk_co
Pro Res
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu ו-Guang Gong מ-360 Vulnerability Research Institute
Pro Res
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) ו-happybabywu ו-Guang Gong מ-360 Vulnerability Research Institute
הרשומה נוספה ב-16 בפברואר 2024
Safari
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ביקור באתר זדוני עלול לחשוף את היסטוריית הגלישה באינטרנט
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-41977: Alex Renda
Siri
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
הרשומה עודכנה ב-16 בפברואר 2024
Weather
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-41254: Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: VoiceOver עלול לקרוא סיסמת משתמש בקול רם
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) מ-Cross Republic
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) and Vitor Pedreira (@0xvhp_) of Agile Information Security
הרשומה עודכנה ב-16 בפברואר 2024
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
הרשומה נוספה ב-16 בפברואר 2024
WebKit Process Model
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
תודות נוספות
libxml2
אנחנו מבקשים להודות לOSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.
libarchive
אנחנו מבקשים להודות ל-Bahaa Naamneh על הסיוע.
WebKit
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Gishan Don Ranasinghe ולחוקר אנונימי על הסיוע.
הרשומה נוספה ב-16 בפברואר 2024
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.