מידע על תוכן האבטחה של iOS 16.7.2 ושל iPadOS 16.7.2

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

פורסם ב-25 באוקטובר 2023

CoreAnimation

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40449‏: Tomi Tokics (‏‎@tomitokics) מ-iTomsn0w

Core Recents

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה נפתרה באמצעות סניטציה של רישום

CVE-2023-42823

הרשומה נוספה ב-16 בפברואר 2024

Find My

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-40413‏: Adam M.‎

ImageIO

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40416‏: JZ

ImageIO

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-42848: JZ

הרשומה נוספה ב-16 בפברואר 2024

IOTextEncryptionFamily

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-40423: חוקר אנונימי

Kernel

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף אמצעי עזר של זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-42849‏: Linus Henze מ-Pinauten GmbH (‏pinauten.de)

libc

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד של קלט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי ביישומים שהמשתמש מתקין

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2023-40446: ‏inooo

הרשומה נוספה ב‑3 בנובמבר 2023

libxpc

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: אפליקציה זדונית עלולה להצליח לקבל הרשאות בסיס

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2023-42942: Mickey Jin (@patch1t)

הרשומה נוספה ב-16 בפברואר 2024

Mail Drafts

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: ייתכן שהאפשרות 'הסתרת הדוא"ל שלי' תושבת באופן בלתי צפוי

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2023-40408‏: Grzegorz Riegel

mDNSResponder

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2023-42846‏: Talal Haj Bakry ו-Tommy Mysk מ-Mysk Inc. @mysk_co

Pro Res

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42841‏: Mingxuan Yang ‏(‎@PPPF00L)‏, ‏happybabywu ו-Guang Gong מ-‎360 Vulnerability Research Institute

Pro Res

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2023-42873: ‏Mingxuan Yang ‏(‎@PPPF00L) ו-happybabywu ו-Guang Gong מ-‎360 Vulnerability Research Institute

הרשומה נוספה ב-16 בפברואר 2024

Safari

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: ביקור באתר זדוני עלול לחשוף את היסטוריית הגלישה באינטרנט

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2023-41977: ‏Alex Renda

Siri

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2023-41997: Bistrit Dahal

CVE-2023-41982: Bistrit Dahal

הרשומה עודכנה ב-16 בפברואר 2024

Weather

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-41254‏: Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה

WebKit

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: VoiceOver עלול לקרוא סיסמת משתמש בקול רם

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

WebKit Bugzilla‏: 248717
CVE-2023-32359:‏ Claire Houston

WebKit

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 259836
CVE-2023-40447: ‏이준성(‏Junsung Lee) מ-Cross Republic

WebKit

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) and Vitor Pedreira (@0xvhp_) of Agile Information Security

הרשומה עודכנה ב-16 בפברואר 2024

WebKit

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 259890
CVE-2023-41976‏: 이준성‏(Junsung Lee)

WebKit

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla‏: 260046
CVE-2023-42843: ‏Kacper Kwapisz‏ (‎@KKKas_‎)

הרשומה נוספה ב-16 בפברואר 2024

WebKit Process Model

זמין עבור: iPhone 8 ואילך, iPad Pro (כל הדגמים), iPad Air דור שלישי ואילך, iPad דור חמישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 260757
CVE-2023-41983‏: 이준성‏(Junsung Lee)

libxml2

אנחנו מבקשים להודות ל­OSS-Fuzz, ל-Ned Williamson מ-Google Project Zero על הסיוע.

libarchive

אנחנו מבקשים להודות ל-Bahaa Naamneh על הסיוע.

WebKit

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

WebKit

אנחנו מבקשים להודות ל-Gishan Don Ranasinghe ולחוקר אנונימי על הסיוע.

הרשומה נוספה ב-16 בפברואר 2024