Informacije o sigurnosnom sadržaju sustava iOS 17.1 i iPadOS 17.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 17.1 i iPadOS 17.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 17.1 I iPadOS 17.1

Automation

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42952: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

Contacts

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-41072: Wojciech Regula (SecuRing) (wojciechregula.blog) i Csaba Fitzl (@theevilbit) (Offensive Security)

CVE-2023-42857: Noah Roskin-Frazee i profesor J. (ZeroClicks.ai Lab)

CoreAnimation

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)

Core Recents

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen saniranjem zapisivanja

CVE-2023-42823

FairPlay

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42928: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs SG Pte. Ltd.)

Find My

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-40413: Adam M.

Find My

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.

CVE-2023-42834: Csaba Fitzl (@theevilbit) (Offensive Security)

Game Center

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)

ImageIO

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40416: JZ

ImageIO

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42848: JZ

IOTextEncryptionFamily

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40423: anonimni istraživač

Kernel

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)

libc

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40446: inooo

libxpc

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2023-42942: Mickey Jin (@patch1t)

Mail Drafts

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: značajka Sakrij moj e-mail može se neočekivano deaktivirati

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-42846: Talal Haj Bakry i Tommy Mysk (Mysk Inc.) @mysk_co

Passkeys

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42847: anonimni istraživač

Photos

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2023-42845: Bistrit Dahal

Pro Res

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)

Pro Res

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)

Safari

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: korisnik možda ne može izbrisati stavke povijesti pretraživanja

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-42951: Adis Alic

Sandbox

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač bi mogao pristupiti povezanim mrežnim jedinicama postavljenim u matični direktorij

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Sandbox

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Setup Assistant

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač s fizičkim pristupom mogao bi neopaženo zadržati Apple ID na izbrisanom uređaju

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-42855: Sam Lakmaker

Share Sheet

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula of SecuRing (wojciechregula.blog) i Cristian Dinca (državna srednja škola za računalne znanosti „Tudor Vianu“, Rumunjska)

Siri

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Siri

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-42946

Status Bar

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: uređaj se možda opetovano neće moći zaključati

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, anonimni istraživač, Lorenzo Cavallaro i Harry Lewandowski

Weather

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40447: 이준성(Junsung Lee) (Cross Republic)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) (Agile Information Security)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-42843: Kacper Kwapisz (@KKKas_)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aktivnost iz privatnog pregledavanja korisnika može se neočekivano spremiti u Izvješće o privatnosti aplikacije

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42939: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

WebKit Process Model

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-41983: 이준성(Junsung Lee)

Dodatna zahvala

libarchive

Zahvaljujemo na pomoći Bahaau Naamnehu.

libxml2

Na pomoći zahvaljujemo timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google.

Power Manager

Na pomoći zahvaljujemo korisniku Xia0o0o0o (@Nyaaaaa_ovo) (University of California, San Diego).

ReplayKit

Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.

VoiceOver

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

WebKit

Na pomoći zahvaljujemo anonimnom istraživaču.

WebKit

Na pomoći zahvaljujemo Gishanu Don Ranasingheju i anonimnom istraživaču.

WidgetKit

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).