Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 15.7 i iPadOS 15.7
Izdano 12. rujna 2022.
Apple Neural Engine
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
Unos dodan 27. listopada 2022.
Audio
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-42796: Mickey Jin (@patch1t)
Unos je dodan 27. listopada 2022. i ažuriran 1. svibnja 2023.
Backup
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija bi mogla pristupiti sigurnosnim kopijama sustava iOS
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2022-32929: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos dodan 27. listopada 2022.
Contacts
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32911: Zweig (Kunlun Lab)
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32864: Linus Henze (Pinauten GmbH (pinauten.de))
Kernel
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32917: anonimni istraživač
Maps
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnik bi mogao povećati ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32908: anonimni istraživač
Notifications
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnik s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32879: Ubeydullah Sümer
Unos dodan 27. listopada 2022.
Safari
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: problem je riješen poboljšanim provjerama.
CVE-2022-32795: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (Indija) @imnarendrabhati
Safari Extensions
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: web-mjesto moglo bi pratiti korisnike putem web-proširenja za Safari
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Security
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: aplikacija bi mogla zaobići provjere potpisivanja koda
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)
Unos dodan 27. listopada 2022.
Shortcuts
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi sa zaključanog zaslona pristupiti fotografijama
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32872: Elite Tech Guru
Sidecar
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42790: Om kothawade (Zaprico Digital)
Unos dodan 27. listopada 2022.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Unos dodan 27. listopada 2022.
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) u suradnji s inicijativom Trend Micro Zero Day
WebKit Sandboxing
Dostupno za: iPhone 6s i noviji, iPad Pro (svi modeli), iPad Air 2 i noviji, iPad pete generacije i noviji, iPad mini 4 i noviji te iPod touch (sedme generacije)
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 i @jq0904 (Laboratorij DBAppSecurity's WeBin)
Unos dodan 27. listopada 2022.
Dodatna zahvala
AppleCredentialManager
Željeli bismo zahvaliti osobi @jonathandata1 na pomoći.
Unos dodan 27. listopada 2022.
FaceTime
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.
Game Center
Na pomoći zahvaljujemo Joshui Jonesu.
Identity Services
Na pomoći zahvaljujemo Joshui Jonesu.
Kernel
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.
WebRTC
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.