Informacije o sigurnosnom sadržaju sustava iOS 16.2 i iPadOS 16.2
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 16.2 i iPadOS 16.2.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 16.2 i iPadOS 16.2
Objavljeno 13. prosinca 2022.
Accessibility
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik s fizičkim pristupom zaključanom Apple Watch mogao bi pregledavati fotografije putem značajki pristupačnosti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46717: Zitong Wu (吴梓桐) (Zhuhai No.1 Middle School (珠海市第一中学))
Unos je dodan 16. ožujka 2023.
Accounts
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: parsiranje zlonamjerne video datoteke može uzrokovati izvršavanje kernelskog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46694: Andrey Labunets i Nikita Tarakanov
AppleMobileFileIntegrity
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) (SecuRing)
AVEVideoEncoder
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-42848: ABC Research s.r.o
CoreServices
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: više problema riješeno je uklanjanjem ranjivog koda.
CVE-2022-42859: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
dyld
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46720: Yonghwi Jin (@jinmo123) (Theori)
Unos je dodan 16. ožujka 2023.
GPU Drivers
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-46702: Xia0o0o0o (W4terDr0p),(Sveučilište Sun Yat-sen)
Graphics Driver
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42850: Willy R. Vasquez (Sveučilište u Texasu, Austin)
Graphics Driver
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: parsiranje zlonamjerne video datoteke može dovesti do neočekivanog prekida rada sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42846: Willy R. Vasquez (Sveučilište u Texasu, Austin)
iCloud Photo Library
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: lokacijski podaci mogu se podijeliti putem iCloud veza čak i kad su lokacijski metapodaci onemogućeni putem značajke Share Sheet
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-46710: John Balestrieri (Tinrocket)
Unos je dodan 31. listopada 2023.
ImageIO
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: parsiranje zlonamjerne TIFF datoteke može uzrokovati otkrivanje korisničkih podataka
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42837: Weijia Dai (@dwj1210) iz tvrtke Momo Security
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: spajanje na zlonamjeran NFS poslužitelj moglo bi dovesti do izvršavanja proizvoljnog koda s kernelskim ovlastima
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42842: pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-42861: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42844: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42845: Adam Doupé iz organizacije ASU SEFCOM
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača. Apple je upoznat s izvješćem da se ovaj problem možda iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim provjerama.
CVE-2022-48618: Apple
Unos je dodan 9. siječnja 2024.
Networking
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2022-42839: Adam M.
Unos je dodan 31. listopada 2023., ažuriran je 31. svibnja 2024.
Networking
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: funkcija privatni relej nije odgovarala postavkama sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46716
Unos je dodan 16. ožujka 2023.
Photos
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: funkcija Protresi za poništavanje može omogućiti ponovno pojavljivanje izbrisane fotografije bez autorizacije
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak i anonimni istraživač
Unos je ažuriran 31. listopada 2023.
ppp
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42840: anonimni istraživač
Preferences
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla koristiti proizvoljne ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Printing
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-42862: Mickey Jin (@patch1t)
Safari
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik bi si mogao povećati ovlasti
Opis: otkriven je problem s pristupom prilikom API poziva s ovlastima. Problem je riješen dodatnim ograničenjima.
CVE-2022-42849: Mickey Jin (@patch1t)
TCC
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46718: Michael (Biscuit) Thomas
Unos je dodan 1. svibnja 2023.
Weather
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) iz tvrtke SecuRing i Adam M.
Unos je dodan 16. ožujka 2023., ažuriran je 31. svibnja 2024.
Weather
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-42866: anonimni istraživač
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617
Unos je dodan 31. listopada 2023.
WebKit
Dostupno za: iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15 1.
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne iz skupine tvrtke Google za analizu prijetnji
Unos je dodan 22. prosinca 2022.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) iz tima ApplePIE
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) iz tima ApplePIE
Unos je dodan 22. prosinca 2022. godine, a ažuriran 31. listopada 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, and JiKai Ren i Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
Unos je ažuriran 31. listopada 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može se zaobići Pravilo istog porijekla
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)
Unos je ažuriran 31. listopada 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 246721
CVE-2022-42852: korisnik hazbinhotel koji surađuje s inicijativom Trend Micro Zero Day Initiative
Unos je ažuriran 22. prosinca 2022.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) iz centra DNSLab pri korejskom Sveučilištu, Ryan Shin iz centra IAAI SecLab pri korejskom Sveučilištu
Unos je ažuriran 22. prosinca 2022.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 244622
CVE-2022-42863: anonimni istraživač
Dodatna zahvala
App Store
Na pomoći zahvaljujemo Iagu Cavalcanteu (Billy for Insurance).
Unos je dodan 1. svibnja 2023.
Kernel
Željeli bismo zahvaliti Zweigu iz tvrtke Kunlun Lab i korisniku pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab na njihovoj pomoći.
Safari Extensions
Zahvaljujemo Oliveru Dunku i Christianu R. iz tima 1Password na pomoći.
WebKit
Zahvaljujemo na pomoći anonimnom istraživaču i korisniku scarlet.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.