אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 15.7 ו-iPadOS 15.7
הופץ ב-12 בספטמבר 2022
Apple Neural Engine
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32898: מוחמד ע'נם (@_simo36)
CVE-2022-32899: מוחמד ע'נם (@_simo36)
הרשומה נוספה ב‑27 באוקטובר 2022
Audio
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2022-42796: מיקי ג'ין (@patch1t)
הרשומה נוספה ב-27 באוקטובר 2022, עודכנה ב-1 במאי 2023
Backup
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח לגשת לגיבוי iOS
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2022-32929: סאבה פיצל (@theevilbit) מ-Offensive Security
הרשומה נוספה ב‑27 באוקטובר 2022
Contacts
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32854: הולגר פורמאנק מ-Deutsche Telekom Security
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32911: צווייג מ-Kunlun Lab
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32864: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32917: חוקר אנונימי
Maps
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח לקרוא פרטי מיקום רגישים
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32883: רון מסאס, breakpointhq.com
MediaLibrary
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-32908: חוקר אנונימי
Notifications
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: משתמש שיש לו גישה פיזית למכשיר עלול להצליח לגשת לאנשי קשר ממסך הנעילה
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32879: עוביידולה סומר
הרשומה נוספה ב‑27 באוקטובר 2022
Safari
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32795: נרנדרה בהאטי מ‑Suma¬Soft¬Pvt. Ltd. בפונה (הודו) @imnarendrabhati
Safari Extensions
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אתר אינטרנט עלול להצליח לעקוב אחר משתמשים דרך הרחבות אינטרנט של Safari
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 242278
CVE-2022-32868: מייקל
Security
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח לעקוף בדיקות של חתימת קוד
תיאור: בעיה באימות חתימה של קוד טופלה באמצעות בדיקות משופרות.
CVE-2022-42793: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
הרשומה נוספה ב‑27 באוקטובר 2022
Shortcuts
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אדם שיש לו גישה פיזית למכשיר iOS עלול להצליח להיכנס לתמונות ממסך הנעילה
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2022-32872: Elite Tech Guru
Sidecar
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42790: אום קות'וואדה מ-Zaprico Digital
הרשומה נוספה ב‑27 באוקטובר 2022
WebKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
הרשומה נוספה ב‑27 באוקטובר 2022
WebKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 242762
CVE-2022-32912: ג'ונגהון שין (singi21a@) ב-Theori בעבודה עם Zero¬Day¬Initiative של Trend¬Micro
WebKit Sandboxing
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיית גישה טופלה באמצעות שיפורים בארגז החול.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 ו-@jq0904 מ-DBAppSecurity's WeBin lab
הרשומה נוספה ב‑27 באוקטובר 2022
תודות נוספות
AppleCredentialManager
אנחנו מבקשים להודות ל-@jonathandata1 על הסיוע.
הרשומה נוספה ב‑27 באוקטובר 2022
FaceTime
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב‑27 באוקטובר 2022
Game Center
אנחנו מבקשים להודות לג'ושוע ג'ונס על הסיוע.
Identity Services
אנחנו מבקשים להודות לג'ושוע ג'ונס על הסיוע.
Kernel
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב‑27 באוקטובר 2022
WebKit
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב‑27 באוקטובר 2022
WebRTC
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב‑27 באוקטובר 2022