מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 15.5 ו-iPadOS 15.5
הופץ ב-16 במאי 2022
AppleAVD
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-26702: חוקר אנונימי, אנטוניו זקיץ' (@antoniozekic) וג'ון אקרבלום (@jaakerblom)
הערך עודכן ב‑16 מרץ 2023
AppleGraphicsControl
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-26751: מייקל דה פלנטה (@izobashi) מ-Trend Micro Zero Day Initiative
AVEVideoEncoder
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-26736: חוקר אנונימי
CVE-2022-26737: חוקר אנונימי
CVE-2022-26738: חוקר אנונימי
CVE-2022-26739: חוקר אנונימי
CVE-2022-26740: חוקר אנונימי
DriverKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-26763: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
FaceTime
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עם הרשאות בסיס עלול להצליח לקבל גישה למידע פרטי
תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).
CVE-2022-32781: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
הרשומה נוספה ב-6 ביולי 2022
GPU Drivers
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26744: חוקר אנונימי
ImageIO
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה של גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2022-26711: actae0n מ-Blacksun Hackers Club בשיתוף עם Trend Micro Zero Day Initiative
IOKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2022-26701: צ'ן-יו וואנג (@mzzzz__) מ-Tencent Security Xuanwu Lab
IOSurfaceAccelerator
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26771: חוקר אנונימי
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2022-26714: פיטר נויין וו הואנג (@peternguyen14) מ-STAR Labs (@starlabs_sg)
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-26757: נד וויליאמסון מ-Google Project Zero
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: ייתכן שתוקף שכבר הצליח להשיג הפעלת קוד ליבה יוכל לעקוף אמצעי עזר של זיכרון ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2022-26764: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע
תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.
CVE-2022-26765: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
LaunchServices
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות על יישומים של צד שלישי.
CVE-2022-26706: ארסני קוסטרומין (0x3c3e), ג'ונתן בר אור מ-Microsoft
הרשומה עודכנה ב-6 ביולי 2022
libresolv
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2022-26775: מקס שווריק (@_mxms) מ-Google Security Team
הרשומה נוספה ב‑21 ביוני 2022
libresolv
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-26708: מקס שווריק (@_mxms) מ-Google Security Team
הרשומה נוספה ב‑21 ביוני 2022
libresolv
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32790: מקס שווריק (@_mxms) מ-Google Security Team
הרשומה נוספה ב‑21 ביוני 2022
libresolv
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תוקף עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-26776: מקס שווריק (@_mxms) מ-Google Security Team, זובייר אשרף מ-Crowdstrike
הרשומה נוספה ב‑21 ביוני 2022
libxml2
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-23308
Notes
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: עיבוד קלט גדול עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-22673: אבחאי קאילאסיה (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal
Safari Private Browsing
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אתר אינטרנט זדוני עלול להצליח לעקוב אחר משתמשים ב-Safari במצב גלישה פרטית
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26731: חוקר אנונימי
Security
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה זדונית עשויה לעקוף את אימות החתימה
תיאור: בעיה בניתוח אישורים טופלה באמצעות בדיקות משופרות.
CVE-2022-26766: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
Shortcuts
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אדם שיש לו גישה פיזית למכשיר iOS עלול להצליח להיכנס לתמונות ממסך הנעילה
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26703: סלמאן סייד (@slmnsd551)
Spotlight
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: התגלתה בעיית אימות בטיפול בקישורים סימבוליים. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) ו-Joshua Mason מ-Mandiant
הרשומה נוספה ב‑21 בדצמבר 2023
TCC
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-26726: אנטוניו צ'אונג יו שואן YCISCQ
הרשומה נוספה ב‑16 במרץ 2023
WebKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki
WebKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 236950
CVE-2022-26709: שיג'ין דאו מ‑ShuiMuYuLin Ltd ו‑Tsinghua wingtecher lab
WebKit Bugzilla: 237475
CVE-2022-26710: שיג'ין ז'ואו מ‑ShuiMuYuLin Ltd וממעבדת Tsinghua wingtecher
WebKit Bugzilla: 238171
CVE-2022-26717: ג'ונגהון שין מ-Theori
WebKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) מ-Kunlun Lab
WebKit Bugzilla: 238699
CVE-2022-26719: דונגג'ו ג'או יחד עם ADLab של Venustech
WebRTC
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תצוגה מקדימה עצמית של וידאו בשיחת webRTC עלולה להיפסק אם המשתמש עונה לשיחת טלפון
תיאור: בעיה לוגית בטיפול במדיה מקבילה טופלה באמצעות טיפול מצבים משופר.
WebKit Bugzilla: 237524
CVE-2022-22677: חוקר אנונימי
Wi-Fi
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום זדוני עלול לחשוף זיכרון מוגבל
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2022-26745: סקרלט ריינה
הרשומה עודכנה ב-6 ביולי 2022
Wi-Fi
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-26760: 08Tc3wBB מ-ZecOps Mobile EDR Team
Wi-Fi
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2015-4142: קוסטה קורטצ'ינסקי מ-Google Security Team
Wi-Fi
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-26762: וואנג יו מ-Cyberserval
תודות נוספות
AppleMobileFileIntegrity
אנחנו מבקשים להודות לוויצ'ך רגולה (@_r3ggi) מ-SecuRing על הסיוע.
FaceTime
אנחנו מבקשים להודות לוויצ'ך רגולה (@_r3ggi) מ-SecuRing על הסיוע.
FileVault
אנחנו מבקשים להודות לבנג'מין אדולפי מ-Promon Germany GmbH על הסיוע.
הרשומה נוספה ב‑16 במרץ 2023
WebKit
אנחנו מבקשים להודות לג'יימס לי ולחוקר אנונימי על הסיוע.
הערך עודכן ב‑25 מאי 2022
Wi-Fi
אנחנו מבקשים להודות ל-08Tc3wBB מ-ZecOps Mobile EDR Team על הסיוע.