Informacije o sigurnosnom sadržaju sustava iOS 15.7.2 i iPadOS 15.7.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 15.7.2 i iPadOS 15.7.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 15.7.2 i iPadOS 15.7.2

AppleAVD

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: parsiranje zlonamjernih videodatoteka može dovesti do izvršavanja kernelskog koda

Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46694: Andrey Labunets i Nikita Tarakanov

AVEVideoEncoder

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2022-42848: ABC Research s.r.o

File System

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-42861: pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab

Graphics Driver

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42846: Willy R. Vasquez (Sveučilište u Texasu, Austin)

IOHIDFamily

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2022-42864: Tommy Muir (@Muirey03)

iTunes Store

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-42837: Weijia Dai (@dwj1210) iz tvrtke Momo Security

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2022-46689: Ian Beer (Google Project Zero)

libxml2

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-40303: Maddie Stone (Google Project Zero)

libxml2

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-40304: Ned Williamson i Nathan Wachholz (Google Project Zero)

ppp

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42840: anonimni istraživač

Preferences

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: aplikacija bi mogla koristiti proizvoljna ovlaštenja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-42855: Ivan Fratric iz tvrtke Google Project Zero

Safari

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja

Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

TCC

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-46718: Michael (Biscuit) Thomas

Weather

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-46703: Wojciech Reguła (@_r3ggi) (SecuRing) i anonimni istraživač

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren i Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46705: Hyeon Park (@tree_segment) iz tima ApplePIE

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2022-46691: anonimni istraživač

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42852: korisnik hazbinhotel koji surađuje s inicijativom Trend Micro Zero Day Initiative

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obrada zlonamjernog web sadržaja mogla bi zaobići Pravilo istog podrijetla

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46700: Samuel Groß iz tvrtke Google V8 Security

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Pro (svi modeli), iPad Air 2 i noviji, iPad 5. generacije i noviji, iPad mini 4 i noviji i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15 1.

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2022-42856: Clément Lecigne iz skupine tvrtke Google za analizu prijetnji