אודות תכני האבטחה של iOS 15.7.2 ו-iPadOS 15.7.2

מסמך זה מתאר את תוכן האבטחה של iOS 15.7.2 ו-iPadOS 15.7.2.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 15.7.2 ו-iPadOS 15.7.2

הופץ ב-13 בדצמבר 2022

AppleAVD

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל להפעלת קוד ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-46694: אנדריי לאבונץ וניקיטה טרקאנוב

AVEVideoEncoder

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2022-42848: ‏ABC Research s.r.o

File System

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-42861‏: pattern-f (_‏‎pattern_F@) מ-Ant Security Light-Year Lab

Graphics Driver

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-42846: ווילי ר' ווסקז מאוניברסיטת טקסס באוסטין

IOHIDFamily

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.

CVE-2022-42864: טומי מוייר (Muirey03@)

iTunes Store

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: הייתה בעיה בניתוח כתובות URL. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2022-42837: ווייה דיי (dwj1210@) מ-Momo Security

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2022-46689: איאן ביר מ-Google Project Zero

libxml2

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2022-40303: מאדי סטון מ-Google Project Zero

libxml2

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-40304: נד וויליאמסון ונתן וואכהולץ מ-Google Project Zero

ppp

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-42840: חוקר אנונימי

Preferences

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול להשתמש בזכאויות שרירותיות

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-42855: איוון פרטריץ' מ-Google Project Zero

Safari

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2022-46695: קירטיקומר אננדראו רמצ'נדאני

TCC

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-46718: מייקל (ביסקיט) תומס

הרשומה נוספה ב‑01 במאי 2023

Weather

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2022-46703: וויצ'ך רגולה (r3ggi_@) מ-SecuRing וחוקר אנונימי

הרשומה נוספה ב‑16 במרץ 2023

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: 245464
CVE-2023-23496: צ'אנג גאנג וו, יאן קאנג, יהאו הו, יו סאן, ג'ימינג וואנג, ג'יקאי רן והאנג שו מהמכון לטכנולוגיית מחשוב, האקדמיה הסינית למדעים

הרשומה נוספה ב‑16 במרץ 2023

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2022-46705: הייון פארק (tree_segment@) מ-Team ApplePIE

הרשומה נוספה ב‑16 במרץ 2023

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla:‏ 245466
CVE-2022-46691: חוקר אנונימי

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-42852: ‏hazbinhotel בעבודה משותפת עם Trend Micro Zero Day Initiative

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לעקוף את מדיניות 'אותו המקור'

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla:‏ 246783
CVE-2022-46692: קירטיקומאר אננדראו רמצ'נדאני

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla‏: 247562
CVE-2022-46700: סמואל גרוס מ-Google V8 Security

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.1.

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.

WebKit Bugzilla‏: 248266
CVE-2022-42856: קלמנט לסין מ-Google Threat Analysis Group

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: