מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 15.7.6 ו-iPadOS 15.7.6
הופץ ב-18 במאי 2023
Accessibility
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.
CVE-2023-32388: Kirin (@Pwnrin)
Apple Neural Engine
זמין עבור מכשירים עם Apple Neural Engine: iPhone 8 ואילך, iPad Pro (דור שלישי) ואילך, iPad Air (דור שלישי) ואילך ו-iPad mini (דור חמישי)
השפעה: אפליקציה עלולה להצליח לצאת מתוך ארגז החול
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
Apple Neural Engine
זמין עבור מכשירים עם Apple Neural Engine: iPhone 8 ואילך, iPad Pro (דור שלישי) ואילך, iPad Air (דור שלישי) ואילך ו-iPad mini (דור חמישי)
השפעה: יישום עלול להצליח לקבל הרשאות ברמה גבוהה יותר
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-32425: Mohamed Ghannam (@_simo36)
הרשומה נוספה ב‑21 בדצמבר 2023
CoreCapture
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2023-28181: Tingting Yin מאוניברסיטת Tsinghua
ImageIO
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm עובד עם Trend Micro Zero Day Initiative
IOSurface
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: יישום בארגז חול עלול להצליח לצפות על חיבורי רשת ברחבי המערכת
תיאור: הבעיה טופלה באמצעות בדיקות הרשאות נוספות.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח לקבל הרשאות בסיס
תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) מ-Synacktiv (@Synacktiv) עובד עם Trend Micro Zero Day Initiative
Kernel
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-32398: Adam Doupé מ-ASU SEFCOM
Metal
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
NetworkExtension
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-32403: Adam M.
הרשומה עודכנה ב-21 בדצמבר 2023
Photos
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: טלטול לביטול עלול לאפשר הצגה מחדש של תמונה שנמחקה ללא אימות
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-32365: Jiwon Park
Shell
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-32391: Wenchao Li ו-Xiaolong Bai מ-Alibaba Group
Telephony
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: תוקף מרוחק עלול לגרום לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
CVE-2023-32412: Ivan Fratric מ-Google Project Zero
TV App
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2023-32408: Adam M.
WebKit
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 254930
CVE-2023-28204: חוקר אנונימי
WebKit
זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.
WebKit Bugzilla: 254840
CVE-2023-32373: חוקר אנונימי
תודות נוספות
libxml2
אנחנו מבקשים להודות לOSS-Fuzz, לנד וויליאמסון מ-Google Project Zero על הסיוע.
Reminders
אנחנו מבקשים להודות ל-Kirin (@Pwnrin) על הסיוע.
Security
אנחנו מבקשים להודות ל-James Duffy (mangoSecure) על הסיוע.
Wi-Fi
אנחנו מבקשים להודות ל-Adam M. על הסיוע.
הרשומה עודכנה ב-21 בדצמבר 2023