Informacije o sigurnosnom sadržaju sustava iOS 15.6 i iPadOS 15.6
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 15.6 i iPadOS 15.6.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 15.6 i iPadOS 15.6
APFS
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2022-32788: Natalie Silvanovich (Google Project Zero)
AppleAVD
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32824: Antonio Zekić (@antoniozekic) i John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32826: Mickey Jin (@patch1t) (Trend Micro)
Apple Neural Engine
Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42805: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32948: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (3. generacije) i noviji, iPad Air (3. generacije) i noviji te iPad mini (5. generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
CVE-2022-32829: Tingting Yin (Tsinghua University) i Min Zheng (Ant Group)
Apple Neural Engine
Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Audio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32820: anonimni istraživač
Audio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32828: Antonio Zekić (@antoniozekic) i John Aakerblom (@jaakerblom)
CoreText
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32819: Joshua Mason (Mandiant)
GPU Drivers
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: veći broj problema sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32793: anonimni istraživač
GPU Drivers
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-32821: John Aakerblom (@jaakerblom)
Home
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32855: Zitong Wu(吴梓桐) (Zhuhai No.1 Middle School (珠海市第一中学))
iCloud Photo Library
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.
CVE-2022-32849: Joshua Jones
ICU
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32841: hjy79425575
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-32802: Ivan Fratrić (Google Project Zero), Mickey Jin (@patch1t)
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjerne slike moglo bi doći do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-32830: Ye Zhang (@co0py_Cat) (Baidu Security)
ImageIO
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
IOMobileFrameBuffer
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26768: anonimni istraživač
JavaScriptCore
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-48503: Dongzhuo Zhao, ADLab (Venustech) i ZhaoHai (Cyberpeace Tech Co., Ltd)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32813: Xinru Chi (Pangu Lab)
CVE-2022-32815: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32817: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija može prouzročiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC Kine (nipc.org.cn)
libxml2
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32823
Multi-Touch
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PluginKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija bi mogla čitati proizvoljne datoteke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32838: Mickey Jin (@patch1t) (Trend Micro)
Safari Extensions
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2022-32784: Young Min Kim, laboratorij CompSec Lab s Nacionalog sveučilišta u Seulu
Software Update
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnik s povlaštenim mrežnim položajem mogao bi pratiti aktivnosti korisnika
Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-32885: P1umer (@p1umer) i Q1IQ (@q1iqF)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32863: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32792: Manfred Paul (@_manfp) u suradnji sa zajednicom Trend Micro Zero Day Initiative
WebRTC
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-2294: Jan Vojtesek iz tima Avast Threat Intelligence
Wi-Fi
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32860: Wang Yu (Cyberserval)
Wi-Fi
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32837: Wang Yu (Cyberserval)
Wi-Fi
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32847: Wang Yu (Cyberserval)
Dodatna zahvala
802.1X
Na pomoći zahvaljujemo Shin Sunu s Nacionalnog tajvanskog sveučilišta.
AppleMobileFileIntegrity
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security), Mickeyju Jinu (@patch1t) (Trend Micro) i Wojciechu Regułi (@_r3ggi) (SecuRing).
configd
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security), Mickeyju Jinu (@patch1t) (Trend Micro) i Wojciechu Regułi (@_r3ggi) (SecuRing).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.