אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 15.7.1 ו-iPadOS 15.7.1
הופץ ב-27 באוקטובר 2022
Apple Neural Engine
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32932: מוחמד גנם (@_simo36)
Audio
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: ניתוח קובץ שמע בעל מבנה זדוני עלול להוביל לחשיפת המידע של משתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42798: אנונימי יחד עם Zero Day Initiative של Trend Micro
Backup
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח לגשת לגיבוי iOS
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2022-32929: סאבה פיצל (@theevilbit) מ-Offensive Security
FaceTime
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: ייתכן שמשתמש יוכל להציג תוכן מוגבל ממסך הנעילה
תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32935: ביסטריט דהל
Graphics Driver
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32939: ווילי ווסקס מאוניברסיטת טקסס באוסטין
Image Processing
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32949: טינגטינג יין מאוניברסיטת טסינגואה
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32944: טים מישו (@TimGMichaud) מ- Moveworks.ai
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2022-42803: סינרו צ'י מ- Pangu Lab, גיון אקרבלום (@jaakerblom)
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עם הרשאות בסיס עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32926: טים מישו (@TimGMichaud) מ- Moveworks.ai
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-42827: חוקר אנונימי
Kernel
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-42801: איאן ביר מ-Google Project Zero
Model I/O
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: עיבוד קובץ USD בעל מבנה זדוני עלול לחשוף תוכן של הזיכרון
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42810: סינווי לין(@xwlin_roy) וייןיי וו מ- Ant Security Light-Year Lab
ppp
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: גלישת חוצץ עלולה לגרום לביצוע קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32941: חוקר אנונימי
Safari
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42817: מיר מסוד עלי, סטודנט לדוקטורט, אוניברסיטת אילינוי בשיקגו; בינוי ציטלה, סטודנט לתואר שני, אוניברסיטת סטוני ברוק ;מוחמד גסמישריף, מועמד לדוקטורט ,אוניברסיטת אילינוי בשיקגו; קריס קניצ', פרופסור חבר, אוניברסיטת אילינוי בשיקגו
WebKit
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחישוף המצבים הפנימיים של האפליקציה
תיאור: בעיית נכונות טופלה ב-JIT באמצעות בדיקות משופרות.
WebKit Bugzilla: 242964
CVE-2022-32923: וונייון ג'ון (@nonetype_pwn) מ- KAIST Hacking Lab
Wi-Fi
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור 7)
השפעה: התחברות לרשת Wi-Fi זדונית עלולה לגרום למניעת שירות של אפליקציית ההגדרות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32927: ד"ר חידאקו גוטו מאוניברסיטת טוהוקו, יפן
zlib
זמין עבור: iPhone 6s ואילך, iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור חמישי ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-37434: יבגני לוורוב
CVE-2022-42800: יבגני לוורוב