מידע על תוכן האבטחה של iOS 15.7.8 ושל iPadOS 15.7.8

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

הופץ בתאריך 24 ביולי 2023

Accessibility

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2023-40442: ניק ברוק

הערך נוסף ב‑8 בספטמבר 2023

Apple Neural Engine

זמין עבור מכשירים עם Apple Neural Engine: ‏iPhone 8 ואילך, iPad Pro (דור שלישי) ואילך, iPad Air (דור שלישי) ואילך ו-iPad mini (דור חמישי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-34425: ‏pattern-f‏ (‏_‎pattern_F@) מ-Ant Security Light-Year Lab

הרשומה נוספה ב-27 יולי 2023

Apple Neural Engine

זמין עבור מכשירים עם Apple Neural Engine: ‏iPhone 8 ואילך, iPad Pro (דור שלישי) ואילך, iPad Air (דור שלישי) ואילך ו-iPad mini (דור חמישי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-23540: מוחמד גנם (‎@_simo36)

CFNetwork

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2023-40392: וויצ'ך רגולה מ-SecuRing‏ (wojciechregula.blog)

הערך נוסף ב‑8 בספטמבר 2023

Find My

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: אפליקציה עלולה להצליח לקרוא פרטי מיקום רגישים

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2023-32416: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

FontParser

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: עיבוד קובץ גופן עלול להוביל להפעלה של קוד שרירותי. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.7.1.

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-41990‏: Apple, ולנטין פשקוב, מיכאיל וינוגרדוב, גאורגי קוצ'רין (‎@kucher1n), ליאוניד בזוורשנקו (‎@bzvr_) ובוריס לארין (‎@oct0xor) מ-Kaspersky

הערך נוסף ב‑8 בספטמבר 2023

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-38603: צווייג מ-Kunlun Lab

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: משתמש מרוחק עלול להצליח לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-38590: ‏Zweig מ-Kunlun Lab

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-38598: מוחמד גנם (‎@_simo36)

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2023-36495‏: 香农的三蹦子 מ-Pangu Lab

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2023-37285: ארסני קוסטרומין (0x3c3e)

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2023-38604: חוקר אנונימי

הרשומה נוספה ב-27 יולי 2023

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-32441: ‏Peter Nguyễn Vũ Hoàng (‏‎@peternguyen14) מ-STAR Labs SG Pte.‎ Ltd.

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח לשנות מצב ליבה רגיש. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה באופן פעיל נגד גרסאות iOS שפורסמו לפני iOS 15.7.1.

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2023-38606: ‏Valentin Pashkov, ‏Mikhail Vinogradov, ‏Georgy Kucherin (‏kucher1n@), ‏Leonid Bezvershenko (‏bzvr_@), ו-Boris Larin (@oct0xor) מ-Kaspersky

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2023-32433: ‏Zweig מ-Kunlun Lab

CVE-2023-35993: ‏Kaitao Xie ו-Xiaolong Bai מ-Alibaba Group

Kernel

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-38603: צווייג מ-Kunlun Lab

הרשומה נוספה ב‑22 בדצמבר 2023

libxpc

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2023-38593: נואה רוסקין-פרזי

הרשומה נוספה ב-27 יולי 2023

libxpc

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2023-38565: ז'יפנג הו (‎@R3dF09) מ-Tencent Security Xuanwu Lab‏ (xlab.tencent.com)

הרשומה נוספה ב-27 יולי 2023

Security

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח לקחת מהמשתמש טביעות אצבע

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-42831‏: James Duffy (‏mangoSecure)

הרשומה נוספה ב‑22 בדצמבר 2023

Weather

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: יישום עלול להצליח לזהות את המיקום הנוכחי של המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-38605:‏ Adam M.

הערך נוסף ב‑8 בספטמבר 2023

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: ייתכן שאתר אינטרנט יוכל לעקוב אחר פרטי משתמש רגישים

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 257822
CVE-2023-38599: הריטביק טאנג'ה, ג'ייסון קים, ג'י ג'ף שו, סטפן ואן שייק, דניאל גנקין ויובל ירום

הרשומה נוספה ב-27 יולי 2023

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: עיבוד של מסמך עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 257299
CVE-2023-32445: ג'והאן קרלסון (joaxcar)

הרשומה נוספה ב-27 יולי 2023

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla:‏ 259231
CVE-2023-37450: חוקר אנונימי

הרשומה נוספה ב-27 יולי 2023

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: ייתכן שאתר יוכל לעקוף את מדיניות 'אותו המקור'

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: ‏256549
CVE-2023-38572: ‏Narendra Bhati (‏twitter.com/imnarendrabhati) מ-Suma Soft Pvt. Ltd, Pune - India

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: תוקף מרוחק עלול להצליח לצאת מארגז חול של תוכן אינטרנט. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

WebKit Bugzilla: ‏255350
CVE-2023-32409: קלמנט לצ'יניה מ'קבוצת ניתוח האיומים' של Google ודונצ'ה או-סירבהיל ממעבדת האבטחה של Amnesty International

WebKit

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: ‏256865
CVE-2023-38594: ‏Yuhao Hu

WebKit Process Model

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: ‏258100
CVE-2023-38597: ‏이준성(‏Junsung Lee) מ-Cross Republic

WebKit Web Inspector

זמין עבור: iPhone 6s (כל הדגמים), iPhone 7 (כל הדגמים), iPhone SE (דור ראשון), iPad Air 2‏, iPad mini (דור רביעי) ו-iPod touch (דור שביעי)

השפעה: עיבוד תוכן אינטרנט עלול לחשוף מידע רגיש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla: ‏256932
CVE-2023-38133: ‏YeongHyeon Choi (‏hyeon101010@)

Mail

אנחנו מבקשים להודות ל-Parvez Anwar על הסיוע.

Screenshots

ברצוננו להודות ל-Eric Williams ‏(‎@eric5310pub), ל-Yannik Bloscheck (‏yannikbloscheck.com), ל-Dametto Luca ול-Casati Jacopo על הסיוע.

הערך נוסף ב‑8 בספטמבר 2023

WebKit

אנחנו מבקשים להודות לנרנדרה בהאטי (twitter.com/imnarendrabhati) מ-Suma Soft Pvt Ltd, פונה - הודו על הסיוע.

הרשומה נוספה ב-27 יולי 2023

WebRTC

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.