Informacije o sigurnosnom sadržaju sustava iOS 15.7.8 i iPadOS 15.7.8

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 15.7.8 i iPadOS 15.7.8.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 15.7.8 i iPadOS 15.7.8

Izdano 24. srpnja 2023.

Accessibility

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-40442: Nick Brook

Stavka dodana 8. rujna 2023.

Apple Neural Engine

Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Unos je dodan 27. srpnja 2023.

Apple Neural Engine

Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

CFNetwork

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-40392: Wojciech Regula (SecuRing) (wojciechregula.blog)

Stavka dodana 8. rujna 2023.

Find My

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2023-32416: Wojciech Regula (SecuRing) (wojciechregula.blog)

FontParser

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-41990: Apple Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)

Stavka dodana 8. rujna 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38603: Zweig (Kunlun Lab)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2023-38590: Zweig (Kunlun Lab)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-36495: 香农的三蹦子 (Pangu Lab)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-38604: anonimni istraživač

Unos je dodan 27. srpnja 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs SG Pte. Ltd.)

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija bi mogla izmijeniti osjetljivo kernelsko stanje. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-32433: Zweig (Kunlun Lab)

CVE-2023-35993: Kaitao Xie i Xiaolong Bai (Alibaba Group)

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38603: Zweig (Kunlun Lab)

Unos je dodan 22. prosinca 2023.

libxpc

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-38593: Noah Roskin-Frazee

Unos je dodan 27. srpnja 2023.

libxpc

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.

CVE-2023-38565: Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com)

Unos je dodan 27. srpnja 2023.

Security

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-42831: James Duffy (mangoSecure)

Unos je dodan 22. prosinca 2023.

Weather

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija može odrediti korisnikovu trenutnu lokaciju

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-38605: Adam M.

Stavka dodana 8. rujna 2023.

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: web-mjesto moglo bi pratiti osjetljive korisničke podatke

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin i Yuval Yarom

Unos je dodan 27. srpnja 2023.

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom dokumenta moglo bi doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

Unos je dodan 27. srpnja 2023.

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 259231

CVE-2023-37450: anonimni istraživač

Unos je dodan 27. srpnja 2023.

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: web-mjesto može zaobići pravilo istog podrijetla

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 256549

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd, Pune – Indija)

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem je riješen poboljšanim provjerama ograničenja.

WebKit Bugzilla: 255350

CVE-2023-32409: Clément Lecigne (Googleova grupa za analizu prijetnji) i Donncha Ó Cearbhaill (sigurnosni odjel organizacije Amnesty International)

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 256865

CVE-2023-38594: Yuhao Hu

WebKit Process Model

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 258100

CVE-2023-38597: 이준성(Junsung Lee) (Cross Republic)

WebKit Web Inspector

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 256932

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Dodatna zahvala

Mail

Željeli bismo zahvaliti Parvezu Anwaru na pomoći.

Screenshots

Željeli bismo zahvaliti Ericu Williamsu (@eric5310pub), Yanniku Bloschecku (yannikbloscheck.com), Luci Dametto i Jacopu Casatiju na pomoći.

Stavka dodana 8. rujna 2023.

WebKit

Željeli bismo zahvaliti Narendri Bhati (twitter.com/imnarendrabhati) iz tvrtke Suma Soft Pvt. Ltd, – Indija) na pomoći.

Unos je dodan 27. srpnja 2023.

WebRTC

Na pomoći zahvaljujemo anonimnom istraživaču.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: