Informacije o sigurnosnom sadržaju sustava iOS 15.4 i iPadOS 15.4
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 15.4 i iPadOS 15.4.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 15.4 i iPadOS 15.4
Accelerate Framework
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22633: ryuzaki
AppleAVD
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
AVEVideoEncoder
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2022-22634: anonimni istraživač
AVEVideoEncoder
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22635: anonimni istraživač
AVEVideoEncoder
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22636: anonimni istraživač
Cellular
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osoba s fizičkim pristupom mogla bi moći prikazati i izmijeniti podatke i postavke računa kod operatera sa zaključanog zaslona
Opis: panel za GSMA provjeru autentičnosti mogao bi se prikazivati na zaključanom zaslonu. Problem je riješen zahtjevom da otključavanje uređaja stupi u interakciju s panelom GSMA za provjeru autentičnosti.
CVE-2022-22652: Kağan Eğlence (linkedin.com/in/kaganeglence), Oğuz Kırat (@oguzkirat)
CoreMedia
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija možda može doznati informacije o trenutačnom prikazu kamere prije nego što joj se dodijele prava pristupa kameri
Opis: problem s pristupom aplikacije metapodacima kamere riješen je poboljšanom logikom.
CVE-2022-22598: Will Blaschko (Team Quasko)
CoreTypes
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
FaceTime
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnik bi mogao zaobići upit za šifru za hitni poziv
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22642: Yicong Ding (@AntonioDing)
FaceTime
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnik bi mogao poslati audiozapis i videozapis u FaceTime pozivu ne shvaćajući da je to učinio
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22643: Sonali Luthar sa Sveučilišta u Virginiji, Michael Liao sa Sveučilišta u Illinoisu, Urbana-Champaign, Rohan Pahwa sa Sveučilišta Rutgers i Bao Nguyen sa Sveučilišta u Floridi
GPU Drivers
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22667: Justin Sherman sa Sveučilišta u Marylandu, Baltimore County
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-22611: Xingyu Jin (Google)
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22612: Xingyu Jin (Google)
IOGPUFamily
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
iTunes
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerno web-mjesto moglo bi imati pristup podacima o korisniku i njegovim uređajima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-22653: Aymeric Chaib (CERT, Banque de France)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-22596: anonimni istraživač
CVE-2022-22640: sqrtpwn
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22613: Alex, anonimni istraživač
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22614: anonimni istraživač
CVE-2022-22615: anonimni istraživač
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22632: Keegan Saunders
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2022-22638: derrek (@derrekr6)
LaunchServices
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30946: @gorelics i Ron Masas (BreakPoint.sh)
libarchive
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: više problema u medijateci libarchive
Opis: u medijateci libarchive otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-36976
LLVM
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija može brisati datoteke za koje nema dozvolu
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2022-21658: Florian Weimer (@fweimer)
Markup
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi vidjeti povjerljive informacije putem prijedloga tipkovnice
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22622: Ingyu Lim (@_kanarena)
MediaRemote
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerne aplikacije mogle su otkriti što su korisnici drugih aplikacija instalirali
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2022-22670: Brandon Azad
MobileAccessoryUpdater
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NetworkExtension
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22659: George Chen Kaidi (PayPal)
Phone
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnik bi mogao zaobići upit za šifru za hitni poziv
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22618: Yicong Ding (@AntonioDing)
Preferences
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi čitati postavke drugih aplikacija
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com)
Sandbox
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.
CVE-2022-22655: Csaba Fitzl (@theevilbit) (Offensive Security)
Sandbox
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) (Primefort Private Limited), Khiem Tran
Siri
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osoba s fizičkim pristupom uređaju mogla bi pomoću Siri pristupati nekim podacima o lokaciji putem zaključanog zaslona
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2022-22599: Andrew Goldberg sa Teksaškog sveučilišta u Austinu, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SoftwareUpdate
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22639: Mickey (@patch1t)
UIKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi vidjeti povjerljive informacije putem prijedloga tipkovnice
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22621: Joey Hewitt
VoiceOver
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi sa zaključanog zaslona pristupiti fotografijama
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22671: videosdebarraquito
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s upravljanjem kolačićima riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22610: Quan Yin (tim za klijente za Bigo Technology Live)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22624: Kirin (@Pwnrin) (Tencentov sigurnosni odjel Xuanwu Lab)
CVE-2022-22628: Kirin (@Pwnrin) (Tencentov sigurnosni odjel Xuanwu Lab)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2022-22629: Jeonghoon Shin, Theori u suradnji s inicijativom Trend Micro Zero Day
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerno web-mjesto može izazvati neočekivano ponašanje u vezi s resursima iz više izvora
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-22637: Tom McKee (Google)
Wi-Fi
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-22668: MrPhil17
Wi-Fi
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-22668: MrPhil17
Dodatna zahvala
AirDrop
Željeli bismo zahvaliti na pomoći Omaru Espinu (omespino.com), Ronu Masasu (BreakPoint.sh).
Bluetooth
Na pomoći zahvaljujemo anonimnom istraživaču.
Music
Željeli bismo zahvaliti na pomoći Visheshu Balaniju (Urban Company).
Notes
Željeli bismo zahvaliti na pomoći Abhisheku Bansalu (Wipro Technologies).
Safari
Željeli bismo zahvaliti na pomoći Konstantinu Darutkinu (FingerprintJS (fingerprintjs.com)).
Shortcuts
Željeli bismo zahvaliti na pomoći Baibhavu Anandu Jhau (Streamers Land).
Siri
Na pomoći zahvaljujemo anonimnom istraživaču.
syslog
Željeli bismo zahvaliti na pomoći Yonghwiju Jinu (@jinmo123) (Theori).
UIKit
Željeli bismo zahvaliti na pomoći Timu Shadelu (Day Logger, Inc.).
Wallet
Na pomoći zahvaljujemo anonimnom istraživaču.
WebKit
Željeli bismo zahvaliti na pomoći Abdullahu Md Shalehu.
WebKit Storage
Željeli bismo zahvaliti na pomoći Martinu Bajaniku (FingerprintJS).
WidgetKit
Na pomoći zahvaljujemo anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.