Informacije o sigurnosnom sadržaju sustava iOS 15.7 i iPadOS 15.7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 15.7 i iPadOS 15.7.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 15.7 i iPadOS 15.7

Izdano 12. rujna 2022.

Apple Neural Engine

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

Unos dodan 27. listopada 2022.

Audio

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2022-42796: Mickey Jin (@patch1t)

Unos je dodan 27. listopada 2022. i ažuriran 1. svibnja 2023.

Backup

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacija bi mogla pristupiti sigurnosnim kopijama sustava iOS

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2022-32929: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos dodan 27. listopada 2022.

Contacts

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32911: Zweig (Kunlun Lab)

Kernel

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32864: Linus Henze (Pinauten GmbH (pinauten.de))

Kernel

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2022-32917: anonimni istraživač

Maps

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: korisnik bi mogao povećati ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-32908: anonimni istraživač

Notifications

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: korisnik s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32879: Ubeydullah Sümer

Unos dodan 27. listopada 2022.

Safari

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem je riješen poboljšanim provjerama.

CVE-2022-32795: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (Indija) @imnarendrabhati

Safari Extensions

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: web-mjesto moglo bi pratiti korisnike putem web-proširenja za Safari

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Security

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: aplikacija bi mogla zaobići provjere potpisivanja koda

Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.

CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)

Unos dodan 27. listopada 2022.

Shortcuts

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi sa zaključanog zaslona pristupiti fotografijama

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-32872: Elite Tech Guru

Sidecar

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Unos dodan 27. listopada 2022.

WebKit

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Unos dodan 27. listopada 2022.

WebKit

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) u suradnji s inicijativom Trend Micro Zero Day

WebKit Sandboxing

Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)

Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje

Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 i @jq0904 (Laboratorij DBAppSecurity's WeBin)

Unos dodan 27. listopada 2022.

Dodatna zahvala

AppleCredentialManager

Željeli bismo zahvaliti osobi @jonathandata1 na pomoći.

Unos dodan 27. listopada 2022.

FaceTime

Na pomoći zahvaljujemo anonimnom istraživaču.

Unos dodan 27. listopada 2022.

Game Center

Na pomoći zahvaljujemo Joshui Jonesu.

Identity Services

Na pomoći zahvaljujemo Joshui Jonesu.

Kernel

Na pomoći zahvaljujemo anonimnom istraživaču.

Unos dodan 27. listopada 2022.

WebKit

Na pomoći zahvaljujemo anonimnom istraživaču.

Unos dodan 27. listopada 2022.

WebRTC

Na pomoći zahvaljujemo anonimnom istraživaču.

Unos dodan 27. listopada 2022.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 11. prosinca 2023.