Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 16
Objavljeno 12. rujna 2022.
Accelerate Framework
Dostupno za: iPhone 8 i noviji
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-42795: ryuzaki
Unos dodan 27. listopada 2022.
AppleAVD
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) i anonimni istraživač
Unos dodan 27. listopada 2022.
AppleAVD
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom), ABC Research sro, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Unos dodan 27. listopada 2022.
AppleMobileFileIntegrity
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) (SecuRing)
Unos dodan 16. ožujka 2023.
Apple Neural Engine
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Unos dodan 27. listopada 2022.
Apple Neural Engine
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Unos dodan 27. listopada 2022.
Apple TV
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-32909: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos dodan 27. listopada 2022.
Contacts
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
Crash Reporter
Dostupno za: iPhone 8 i noviji
Učinak: korisnik s fizičkim pristupom uređaju sa sustavom iOS mogao bi čitati dijagnostičke zapise
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-32867: Kshitij Kumar i Jai Musunuri (Crowdstrike)
Unos dodan 27. listopada 2022.
DriverKit
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32865: Linus Henze (Pinauten GmbH, pinauten.de)
Unos dodan 27. listopada 2022.
Exchange
Dostupno za: iPhone 8 i noviji
Učinak: korisnik na povlaštenom mrežnom položaju mogao bi presresti vjerodajnice e-pošte
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) (Check Point Research)
Unos je dodan 27. listopada 2022., a ažuriran 16. ožujka 2023.
FaceTime
Dostupno za: iPhone 8 i noviji
Učinak: korisnik bi mogao poslati audiozapis i videozapis u FaceTime pozivu ne shvaćajući da je to učinio
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-22643: Sonali Luthar sa Sveučilišta u Virginiji, Michael Liao sa Sveučilišta u Illinoisu, Urbana-Champaign, Rohan Pahwa sa Sveučilišta Rutgers i Bao Nguyen sa Sveučilišta u Floridi
Unos dodan 16. ožujka 2023.
GPU Drivers
Dostupno za: iPhone 8 i noviji
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: veći broj problema sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32793: anonimni istraživač
Unos dodan 16. ožujka 2023.
GPU Drivers
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26744: anonimni istraživač
Unos dodan 27. listopada 2022.
GPU Drivers
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32903: anonimni istraživač
Unos dodan 27. listopada 2022.
ImageIO
Dostupno za: iPhone 8 i noviji
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.
CVE-2022-1622
Unos dodan 27. listopada 2022.
Image Processing
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija u memoriji za testiranje mogla bi otkriti koja aplikacija trenutačno upotrebljava kameru
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos dodan 27. listopada 2022.
IOGPUFamily
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32887: anonimni istraživač
Unos dodan 27. listopada 2022.
Kernel
Dostupno za: iPhone 8 i noviji
Učinak: neka bi aplikacija mogla izložiti kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32916: Pan ZhenPeng (STAR Labs SG Pte. Ltd.)
Unos dodan 09. studenog 2022.
Kernel
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32914: Zweig (Kunlun Lab)
Unos dodan 27. listopada 2022.
Kernel
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Unos ažuriran 27. listopada 2022.
Kernel
Dostupno za: iPhone 8 i noviji
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32864: Linus Henze (Pinauten GmbH (pinauten.de))
Kernel
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod.
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32917: anonimni istraživač
Maps
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Dostupno za: iPhone 8 i noviji
Učinak: korisnik bi si mogao povećati ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32908: anonimni istraživač
Notifications
Dostupno za: iPhone 8 i noviji
Učinak: korisnik s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32879: Ubeydullah Sümer
Unos dodan 27. listopada 2022.
Photos
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-32918: Ashwani Rajput of Nagarro Software Pvt. Ltd, Srijan Shivam Mishra (The Hack Report(, Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com) (Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan (Pune, India)
Unos je dodan 27. listopada 2022., a ažuriran 16. ožujka 2023.
Safari
Dostupno za: iPhone 8 i noviji
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: problem je riješen poboljšanim provjerama.
CVE-2022-32795: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (Indija) @imnarendrabhati
Safari Extensions
Dostupno za: iPhone 8 i noviji
Učinak: web-stranica mogla bi pratiti korisnike putem web ekstenzija za Safari
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Sandbox
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32881: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos dodan 27. listopada 2022.
Security
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija bi mogla zaobići provjere potpisivanja koda
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)
Unos dodan 27. listopada 2022.
Shortcuts
Dostupno za: iPhone 8 i noviji
Učinak: osoba s fizičkim pristupom iOS uređaju mogla bi sa zaključanog zaslona pristupiti fotografijama
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32872: Elite Tech Guru
Sidecar
Dostupno za: iPhone 8 i noviji
Učinak: korisnik bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42790: Om kothawade (Zaprico Digital)
Unos dodan 27. listopada 2022.
Siri
Dostupno za: iPhone 8 i noviji
Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje privatnih informacija o kalendaru
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32871: Amit Prajapat (Payatu Security Consulting Private Limited)
Unos dodan 16. ožujka 2023.
Siri
Dostupno za: iPhone 8 i noviji
Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje informacija o povijesti poziva
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32870: Andrew Goldberg (Poslovna škola The McCombs School of Business, sveučilište University of Texas, Austin) (linkedin.com/andrew-goldberg-/)
Unos dodan 27. listopada 2022.
Software Update
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42791: Mickey Jin (@patch1t) (Trend Micro)
Unos dodan 09. studenog 2022.
SQLite
Dostupno za: iPhone 8 i noviji
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-36690
Unos dodan 27. listopada 2022.
Time Zone
Dostupno za: iPhone 8 i noviji
Učinak: izbrisani kontakti možda se i dalje prikazuju u rezultatima pretraživanja putem usluge Spotlight
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32859
Unos dodan 27. listopada 2022.
Watch app
Dostupno za: iPhone 8 i noviji
Učinak: aplikacija može čitati trajni identifikator uređaja
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Unos dodan 27. listopada 2022.
Weather
Dostupno za: iPhone 8 i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32875: anonimni istraživač
Unos dodan 27. listopada 2022.
WebKit
Dostupno za: iPhone 8 i noviji
Učinak: neki neovlašteni korisnik mogao bi pristupiti povijesti pregledavanja
Opis: problem se javljao kod putanja datoteka koje su korištene za pohranu podataka s web-stranica. Problem je riješen poboljšavanjem načina pohrane podataka s web-stranica.
CVE-2022-32833: Csaba Fitzl (@theevilbit) (Offensive Security), Jeff Johnson
Unos dodan 09. studenog 2022.
WebKit
Dostupno za: iPhone 8 i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Unos dodan 27. listopada 2022.
WebKit
Dostupno za: iPhone 8 i noviji
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 i anonimni istraživač
Unos dodan 27. listopada 2022.
WebKit
Dostupno za: iPhone 8 i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Dostupno za: iPhone 8 i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) u suradnji s inicijativom Trend Micro Zero Day
WebKit Sandboxing
Dostupno za: iPhone 8 i noviji
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s pristupom riješen je poboljšanjima ograničene memorije.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 i @jq0904 (Laboratorij DBAppSecurity's WeBin)
Unos dodan 27. listopada 2022.
Wi-Fi
Dostupno za: iPhone 8 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46709: Wang Yu (Cyberserval)
Unos dodan 16. ožujka 2023.
Wi-Fi
Dostupno za: iPhone 8 i noviji
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32925: Wang Yu (Cyberserval)
Unos dodan 27. listopada 2022.
Dodatna zahvala
AirDrop
Zahvaljujemo Alexanderu Heinrichu, Milanu Stuteu i Christianu Weinertu s Tehničkog sveučilišta u Darmstadtu na pomoći.
Unos dodan 27. listopada 2022.
AppleCredentialManager
Željeli bismo zahvaliti osobi @jonathandata1 na pomoći.
Unos dodan 27. listopada 2022.
Calendar UI
Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.
Unos dodan 27. listopada 2022.
CoreGraphics
Na pomoći zahvaljujemo Simonu de Vegtu.
Unos dodan 09. studenog 2022.
FaceTime
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.
Find My
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.
Game Center
Na pomoći zahvaljujemo Joshui Jonesu.
iCloud
Zahvaljujemo Bülentu Aytulunu i anonimnom istraživaču na pomoći.
Unos dodan 27. listopada 2022.
Identity Services
Na pomoći zahvaljujemo Joshui Jonesu.
Kernel
Zahvaljujemo Panu ZhenPengu (@ Peterpan0927), Tingting Yinu sa sveučilišta Tsinghua i Min Zheng (Ant Group) te anonimnom istraživaču na pomoći.
Unos dodan 27. listopada 2022.
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.
Notes
Zahvaljujemo Edwardu Rileyju (Iron Cloud Limited, ironclouduk.com) na pomoći.
Unos dodan 27. listopada 2022.
Photo Booth
Željeli bismo zahvaliti Prashanthu Kannanu (Dremio) na pomoći.
Unos dodan 27. listopada 2022.
Safari
Željeli bismo zahvaliti Scott Hatfieldu (Sub-Zero Group) na pomoći.
Unos dodan 16. ožujka 2023.
Sandbox
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).
Unos dodan 27. listopada 2022.
Shortcuts
Zahvaljujemo Shayu Droru na pomoći.
Unos dodan 27. listopada 2022.
SOS
Zahvaljujemo Xianfengu Lu i Lei Ai (OPPO Amber Security Lab) na pomoći.
Unos dodan 27. listopada 2022.
UIKit
Zahvaljujemo Aleczanderu Ewingu, Simonu de Vegtu i anonimnom istraživaču na pomoći.
Unos dodan 27. listopada 2022.
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.
WebRTC
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos dodan 27. listopada 2022.