Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 16.2 i iPadOS 16.2
Objavljeno 13. prosinca 2022.
Accessibility
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik s fizičkim pristupom zaključanom Apple Watch mogao bi pregledavati fotografije putem značajki pristupačnosti
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46717: Zitong Wu (吴梓桐) (Zhuhai No.1 Middle School (珠海市第一中学))
Unos je dodan 16. ožujka 2023.
Accounts
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije
Opis: taj je problem riješen poboljšanom zaštitom podataka.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: parsiranje zlonamjerne video datoteke može uzrokovati izvršavanje kernelskog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46694: Andrey Labunets i Nikita Tarakanov
AppleMobileFileIntegrity
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) (SecuRing)
AVEVideoEncoder
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-42848: ABC Research s.r.o
CoreServices
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: više problema riješeno je uklanjanjem ranjivog koda.
CVE-2022-42859: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
dyld
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46720: Yonghwi Jin (@jinmo123) (Theori)
Unos je dodan 16. ožujka 2023.
GPU Drivers
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-46702: Xia0o0o0o (W4terDr0p),(Sveučilište Sun Yat-sen)
Graphics Driver
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42850: Willy R. Vasquez (Sveučilište u Texasu, Austin)
Graphics Driver
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: parsiranje zlonamjerne video datoteke može dovesti do neočekivanog prekida rada sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42846: Willy R. Vasquez (Sveučilište u Texasu, Austin)
iCloud Photo Library
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: lokacijski podaci mogu se podijeliti putem iCloud veza čak i kad su lokacijski metapodaci onemogućeni putem značajke Share Sheet
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2022-46710: John Balestrieri (Tinrocket)
Unos je dodan 31. listopada 2023.
ImageIO
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46693: Mickey Jin (@patch1t)
ImageIO
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: parsiranje zlonamjerne TIFF datoteke može uzrokovati otkrivanje korisničkih podataka
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42851: Mickey Jin (@patch1t)
IOHIDFamily
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-42837: Weijia Dai (@dwj1210) (Momo Security)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: spajanje na zlonamjeran NFS poslužitelj moglo bi dovesti do izvršavanja proizvoljnog koda s kernelskim ovlastima
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-46701: Felix Poulin-Belanger
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42842: pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-42861: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42844: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42845: Adam Doupé iz organizacije ASU SEFCOM
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača. Apple je upoznat s izvješćem da se ovaj problem možda iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim provjerama.
CVE-2022-48618: Apple
Unos je dodan 9. siječnja 2024.
Networking
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2022-42839: Adam M.
Unos je dodan 31. listopada 2023., ažuriran je 31. svibnja 2024.
Networking
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: funkcija privatni relej nije odgovarala postavkama sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46716
Unos je dodan 16. ožujka 2023.
Photos
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: funkcija Protresi za poništavanje može omogućiti ponovno pojavljivanje izbrisane fotografije bez autorizacije
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak i anonimni istraživač
Unos je ažuriran 31. listopada 2023.
ppp
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-42840: anonimni istraživač
Preferences
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla koristiti proizvoljne ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Printing
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2022-42862: Mickey Jin (@patch1t)
Safari
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik bi si mogao povećati ovlasti
Opis: otkriven je problem s pristupom prilikom API poziva s ovlastima. Problem je riješen dodatnim ograničenjima.
CVE-2022-42849: Mickey Jin (@patch1t)
TCC
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46718: Michael (Biscuit) Thomas
Unos je dodan 1. svibnja 2023.
Weather
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) iz tvrtke SecuRing i Adam M.
Unos je dodan 16. ožujka 2023., ažuriran je 31. svibnja 2024.
Weather
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2022-42866: anonimni istraživač
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617
Unos je dodan 31. listopada 2023.
WebKit
Dostupno za: iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15 1.
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne iz skupine tvrtke Google za analizu prijetnji
Unos je dodan 22. prosinca 2022.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) iz tima ApplePIE
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) iz tima ApplePIE
Unos je dodan 22. prosinca 2022. godine, a ažuriran 31. listopada 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, and JiKai Ren i Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
Unos je ažuriran 31. listopada 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može se zaobići Pravilo istog porijekla
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)
Unos je ažuriran 31. listopada 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 246721
CVE-2022-42852: korisnik hazbinhotel koji surađuje s inicijativom Trend Micro Zero Day Initiative
Unos je ažuriran 22. prosinca 2022.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) iz centra DNSLab pri korejskom Sveučilištu, Ryan Shin iz centra IAAI SecLab pri korejskom Sveučilištu
Unos je ažuriran 22. prosinca 2022.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 244622
CVE-2022-42863: anonimni istraživač
Dodatna zahvala
App Store
Na pomoći zahvaljujemo Iagu Cavalcanteu (Billy for Insurance).
Unos je dodan 1. svibnja 2023.
Kernel
Željeli bismo zahvaliti Zweigu iz tvrtke Kunlun Lab i korisniku pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab na njihovoj pomoći.
Safari Extensions
Zahvaljujemo Oliveru Dunku i Christianu R. iz tima 1Password na pomoći.
WebKit
Zahvaljujemo na pomoći anonimnom istraživaču i korisniku scarlet.