מידע על תוכן האבטחה של iOS 16.4 ו-iPadOS 16.4
מסמך זה מתאר את תוכן האבטחה של iOS 16.4 ו-iPadOS 16.4.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדףעדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפיCVE-ID, כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדףאבטחת מוצרי Apple.
iOS 16.4 ו-iPadOS 16.4
הופץ ב-27 במרץ 2023
Accessibility
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עשוי להצליח להגיע למידע על אנשי הקשר של משתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-23541: סאבה פיצל (@theevilbit) מ-Offensive Security
App Store
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-42830: Adam M.
הרשומה נוספה ב-31 באוקטובר 2023, עודכנה ב-16 ביולי 2024
Apple Neural Engine
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-23540: מוחמד גנם (@_simo36)
CVE-2023-27959: מוחמד גאנם (@_simo36)
Apple Neural Engine
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2023-27970: מוחמד גאנם
Apple Neural Engine
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: משתמש עלול לקבל גישה לחלקים מוגנים במערכת הקבצים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-27931: Mickey Jin (@patch1t)
Calendar
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ייבוא הזמנה בלוח השנה שנוצרה באופן זדוני עלול לאפשר חילוץ פרטי משתמש
תיאור: מספר בעיות אימות טופלו באמצעות סניטציה משופרת של קלט.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום בארגז חול עלול להצליח לקבוע איזה יישום משתמש כעת במצלמה
תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CarPlay
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: משתמש במיקום רשת מורשה עלול להצליח לגרום למניעת שירות
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2023-23494: איתי ללין מ-General Motors Product Cyber Security
ColorSync
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לקרוא קבצים שרירותיים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-27955: JeongOhKyea
Core Bluetooth
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של מנת Bluetooth בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2023-23528: ג'יאן-ג'ון דאי וגואנג גונג מ-360 Vulnerability Research Institute
CoreCapture
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-28181: Tingting Yin מאוניברסיטת Tsinghua
CoreServices
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-40398: מיקי ג'ין (@patch1t)
הרשומה נוספה ב-16 ביולי 2024
Find My
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-28195: Adam M.
CVE-2023-23537: Adam M.
הרשומה עודכנה ב‑21 בדצמבר 2023
FontParser
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד קובץ גופן עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-32366: Ye Zhang (@VAR10CK) מ-Baidu Security
הרשומה נוספה ב-31 באוקטובר 2023
FontParser
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-27956: Ye Zhang (@VAR10CK) מ-Baidu Security
הרשומה עודכנה ב-31 באוקטובר 2023
Foundation
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ניתוח של קובץ plist בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2023-27937: חוקר אנונימי
iCloud
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: קובץ מתיקיית shared-by-me ב-iCloud עלול להצליח לעקוף את Gatekeeper
תיאור: בעיה זו טופלה באמצעות בדיקות נוספות של Gatekeeper בקבצים שהורדו מתיקיית shared-by-me ב-iCloud.
CVE-2023-23526: Jubaer Alnazi מקבוצת החברות TRS
Identity Services
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עשוי להצליח להגיע למידע על אנשי הקשר של משתמש
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-27928: Csaba Fitzl (@theevilbit) מ-Offensive Security
ImageIO
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-23535: ryuzaki
ImageIO
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) מ-Mbition Mercedes-Benz Innovation Lab ו-jzhu בעבודה עם Trend Micro Zero Day Initiative
ImageIO
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך
תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) מ-Mbition Mercedes-Benz Innovation Lab
CVE-2023-42865: jzhu בעבודה עם Trend Micro Zero Day Initiative ו-Meysam Firouzi (@R00tkitSMM) מ-Mbition Mercedes-Benz Innovation Lab
הרשומה נוספה ב‑21 בדצמבר 2023
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: משתמש עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte.. Ltd.
הרשומה נוספה ב-31 באוקטובר 2023
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2023-28185: Pan ZhenPeng מ-STAR Labs SG Pte. Ltd.
הרשומה נוספה ב-31 באוקטובר 2023
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-32424: Zechao Cai (@Zech4o) מ-Zhejiang University
הרשומה נוספה ב-31 באוקטובר 2023
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2023-27969: Adam Doupé מ-ASU SEFCOM
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-27933: sqrtpwn
Kernel
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2023-23536: Félix Poulin-Bélanger ו-David Pan Ogea
הרשומה נוספה ב-1 במאי 2023, עודכנה ב-31 באוקטובר 2023
LaunchServices
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ייתכן שקבצים שהורדו מהאינטרנט לא יוצגו עם הדגל של הסגר
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-27943: חוקר אנונימי, Brandon Dalton (@partyD0lphin) מ-Red Canary, Milan Tenk ו-Arthur Valiev מ-F-Secure Corporation
הרשומה עודכנה ב-31 באוקטובר 2023
LaunchServices
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-23525: Mickey Jin (@patch1t)
libpthread
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
CVE-2023-41075: Zweig מ-Kunlun Lab
הרשומה נוספה ב‑21 בדצמבר 2023
Magnifier
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: אדם שיש לו גישה פיזית למכשיר iOS עלול להצליח להציג את התמונה האחרונה שהייתה בשימוש ב'זכוכית מגדלת' ממסך הנעילה
תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.
CVE-2022-46724: אבחאי קאילאסיה (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal
הרשומה נוספה ב‑1 באוגוסט 2023
NetworkExtension
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: משתמש במיקום רשת מורשה עלול להצליח להתחזות לשרת VPN המוגדר עם אימות EAP בלבד במכשיר
תיאור: הבעיה טופלה באמצעות אימות משופר.
CVE-2023-28182: Zhuowei Zhang
Photos
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ניתן לצפות ללא אימות בתמונות השייכות לאלבום 'תמונות מוסתרות' דרך 'חיפוש ויזואלי נרחב'
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2023-23523: developStorm
Podcasts
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-27942: Mickey Jin (@patch1t)
Safari
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להיות מסוגל ליצור סימניה במסך הבית באופן בלתי צפוי
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-28194: אנטון ספיבק
Sandbox
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש
תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.
CVE-2023-27963: Jubaer Alnazi Jabin מקבוצת החברות TRS ו-Wenchao Li ו-Xiaolong Bai מ-Alibaba Group
TCC
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.
CVE-2023-28188: Xin Huang (@11iaxH)
הרשומה נוספה ב-31 באוקטובר 2023
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: כשל אפשרי של מדיניות אבטחת תוכן לחסימת דומיינים עם תווים כלליים
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken מ-imec-DistriNet, KU Leuven
הרשומה נוספה ב-31 באוקטובר 2023
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel בעבודה משותפת עם Trend Micro Zero Day Initiative
הרשומה נוספה ב‑1 באוגוסט 2023
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) מ-Team ApplePIE
הרשומה נוספה ב-1 באוגוסט 2023, עודכנה ב-21 בדצמבר 2023
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.7.
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) ו-Valentin Pashkov מ-Kaspersky
הרשומה נוספה ב-21 ביוני 2023, עודכנה ב-1 באוגוסט 2023
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לעקוף את מדיניות 'אותו המקור'
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 248615
CVE-2023-27932: חוקר אנונימי
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ייתכן שאתר אינטרנט יוכל לעקוב אחר פרטי משתמש רגישים
תיאור: הבעיה טופלה על ידי הסרת פרטי המקור.
WebKit Bugzilla: 250837
CVE-2023-27954: חוקר אנונימי
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) מ-Team ApplePIE
הרשומה נוספה ב-1 במאי 2023, עודכנה ב-21 בדצמבר 2023
WebKit
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד קובץ עלול להוביל למניעת שירות או לחשיפה פוטנציאלית של תוכן זיכרון
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 249434
CVE-2014-1745: חוקר אנונימי
הרשומה נוספה ב‑21 בדצמבר 2023
WebKit PDF
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 249169
CVE-2023-32358: אנונימי בעבודה עם Trend Micro Zero Day Initiative
הרשומה נוספה ב‑1 באוגוסט 2023
WebKit Web Inspector
זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2023-28201: דוהיון לי (@l33d0hyun), crixer (@pwning_me) מ-SSD Labs
הרשומה נוספה ב-1 במאי 2023
תודות נוספות
Activation Lock
אנחנו מבקשים להודות ל-Christian Mina על הסיוע.
CFNetwork
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Core Location
אנחנו מבקשים להודות ל-IL, דייגו קרבאליו, האמזה טוגמוס, ליאנג ליו, אלכס טיפטס, WGM, דניס, דלטון גולד, אלחנדרו טחאדה בורג'ס, קוסמין איקונארו, צ'ייס ביגסבי, ביקש בימאלי, קאל רוקארד, בשאר איילאני ורוברט קוט על הסיוע.
הרשומה נוספה ב-1 במאי 2023
CoreServices
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
file_cmds
אנחנו מבקשים להודות ל-Lukas Zronek על הסיוע.
Heimdal
אנחנו מבקשים להודות ל-Evgeny Legerov מ-Intevydis על הסיוע.
ImageIO
אנחנו מבקשים להודות ל-Meysam Firouzi @R00tkitSMM על הסיוע.
Kernel
אנחנו מבקשים להודות לטים מישו (@TimGMichaud) מ-Moveworks.ai על הסיוע.
הרשומה נוספה ב-16 ביולי 2024
lldb
אנחנו מבקשים להודות ל-James Duffy (mangoSecure) על הסיוע.
הרשומה נוספה ב-1 במאי 2023
אנחנו מבקשים להודות לצ'ן ז'אנג, לפביאן אייסינג מאוניברסיטת מינסטר FH למדע שימושי, לדמיאן פודבניאק מאוניברסיטת מינסטר FH למדע שימושי, לטוביאס קאפרט מאוניברסיטת מינסטר למדע שימושי, לכריסטוף סאטיוהאן מאוניברסיטת מינסטר למדע שימושי, לסבסטיאן שינצל מאוניברסיטת מינסטר למדע שימושי ולמרלין קלוסטה ממרכז CISPA Helmholtz לאבטחת מידע על הסיוע.
הרשומה עודכנה ב-1 במאי 2023
Messages
אנחנו מבקשים להודות לאידריס ריואק, אניל אוזדיל וגורושראן סינג על הסיוע.
הרשומה נוספה ב-1 במאי 2023
Password Manager
אנחנו מבקשים להודות ל-OCA Creations LLC ולסבסטיאן אס אנדרסן על הסיוע.
הרשומה נוספה ב-1 במאי 2023
Safari Downloads
אנחנו מבקשים להודות ל-Andrew Gonzalez על הסיוע.
Status Bar
אנחנו מבקשים להודות ל-N ול-jiaxu li על הסיוע.
הרשומה עודכנה ב‑21 בדצמבר 2023
Telephony
אנחנו מבקשים להודות לצ'יאול-ג'ון פארק מ-KAIST SysSec Lab על הסיוע.
WebKit
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
WebKit Web Inspector
אנחנו מבקשים להודות ל-Dohyun Lee (@l33d0hyun) ול-crixer (@pwning_me) מ-SSD Labs על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.