Informacije o sigurnosnom sadržaju sustava iOS 16.2 i iPadOS 16.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 16.2 i iPadOS 16.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 16.2 i iPadOS 16.2

Objavljeno 13. prosinca 2022.

Accessibility

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: korisnik s fizičkim pristupom zaključanom Apple Watch mogao bi pregledavati fotografije putem značajki pristupačnosti

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-46717: Zitong Wu (吴梓桐) (Zhuhai No.1 Middle School (珠海市第一中学))

Unos je dodan 16. ožujka 2023.

Accounts

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: korisnik bi mogao pregledavati osjetljive korisničke informacije

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2022-42843: Mickey Jin (@patch1t)

AppleAVD

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: parsiranje zlonamjerne video datoteke može uzrokovati izvršavanje kernelskog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46694: Andrey Labunets i Nikita Tarakanov

AppleMobileFileIntegrity

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.

CVE-2022-42865: Wojciech Reguła (@_r3ggi) (SecuRing)

AVEVideoEncoder

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2022-42848: ABC Research s.r.o

CoreServices

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: više problema riješeno je uklanjanjem ranjivog koda.

CVE-2022-42859: Mickey Jin (@patch1t) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security

dyld

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46720: Yonghwi Jin (@jinmo123) (Theori)

Unos je dodan 16. ožujka 2023.

GPU Drivers

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-46702: Xia0o0o0o (W4terDr0p),(Sveučilište Sun Yat-sen)

Graphics Driver

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42850: Willy R. Vasquez (Sveučilište u Texasu, Austin)

Graphics Driver

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: parsiranje zlonamjerne video datoteke može dovesti do neočekivanog prekida rada sustava

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42846: Willy R. Vasquez (Sveučilište u Texasu, Austin)

iCloud Photo Library

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: lokacijski podaci mogu se podijeliti putem iCloud veza čak i kad su lokacijski metapodaci onemogućeni putem značajke Share Sheet

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2022-46710: John Balestrieri (Tinrocket)

Unos je dodan 31. listopada 2023.

ImageIO

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46693: Mickey Jin (@patch1t)

ImageIO

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: parsiranje zlonamjerne TIFF datoteke može uzrokovati otkrivanje korisničkih podataka

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42851: Mickey Jin (@patch1t)

IOHIDFamily

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46690: John Aakerblom (@jaakerblom)

iTunes Store

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-42837: Weijia Dai (@dwj1210) (Momo Security)

Kernel

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2022-46689: Ian Beer (Google Project Zero)

Kernel

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: spajanje na zlonamjeran NFS poslužitelj moglo bi dovesti do izvršavanja proizvoljnog koda s kernelskim ovlastima

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2022-46701: Felix Poulin-Belanger

Kernel

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42842: pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab

Kernel

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-42861: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Kernel

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42844: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Kernel

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42845: Adam Doupé iz organizacije ASU SEFCOM

Kernel

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača. Apple je upoznat s izvješćem da se ovaj problem možda iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.

Opis: problem je riješen poboljšanim provjerama.

CVE-2022-48618: Apple

Unos je dodan 9. siječnja 2024.

Networking

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2022-42839: Adam M.

Unos je dodan 31. listopada 2023., ažuriran je 31. svibnja 2024.

Networking

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: funkcija privatni relej nije odgovarala postavkama sustava

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-46716

Unos je dodan 16. ožujka 2023.

Photos

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: funkcija Protresi za poništavanje može omogućiti ponovno pojavljivanje izbrisane fotografije bez autorizacije

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak i anonimni istraživač

Unos je ažuriran 31. listopada 2023.

ppp

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42840: anonimni istraživač

Preferences

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla koristiti proizvoljne ovlasti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-42855: Ivan Fratric (Google Project Zero)

Printing

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2022-42862: Mickey Jin (@patch1t)

Safari

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja

Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

Software Update

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: korisnik bi si mogao povećati ovlasti

Opis: otkriven je problem s pristupom prilikom API poziva s ovlastima. Problem je riješen dodatnim ograničenjima.

CVE-2022-42849: Mickey Jin (@patch1t)

TCC

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-46718: Michael (Biscuit) Thomas

Unos je dodan 1. svibnja 2023.

Weather

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-46703: Wojciech Reguła (@_r3ggi) iz tvrtke SecuRing i Adam M.

Unos je dodan 16. ožujka 2023., ažuriran je 31. svibnja 2024.

Weather

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2022-42866: anonimni istraživač

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617

Unos je dodan 31. listopada 2023.

WebKit

Dostupno za: iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15 1.

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne iz skupine tvrtke Google za analizu prijetnji

Unos je dodan 22. prosinca 2022.

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) iz tima ApplePIE

WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) iz tima ApplePIE

Unos je dodan 22. prosinca 2022. godine, a ažuriran 31. listopada 2023.

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, and JiKai Ren i Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)

Unos je ažuriran 31. listopada 2023.

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može se zaobići Pravilo istog porijekla

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)

Unos je ažuriran 31. listopada 2023.

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 246721
CVE-2022-42852: korisnik hazbinhotel koji surađuje s inicijativom Trend Micro Zero Day Initiative

Unos je ažuriran 22. prosinca 2022.

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)

WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka

Opis: logički problem riješen je poboljšanim provjerama.

WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) iz centra DNSLab pri korejskom Sveučilištu, Ryan Shin iz centra IAAI SecLab pri korejskom Sveučilištu

Unos je ažuriran 22. prosinca 2022.

WebKit

Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)

WebKit Bugzilla: 244622
CVE-2022-42863: anonimni istraživač

Dodatna zahvala

App Store

Na pomoći zahvaljujemo Iagu Cavalcanteu (Billy for Insurance).

Unos je dodan 1. svibnja 2023.

Kernel

Željeli bismo zahvaliti Zweigu iz tvrtke Kunlun Lab i korisniku pattern-f (@pattern_F_) iz tvrtke Ant Security Light-Year Lab na njihovoj pomoći.

Safari Extensions

Zahvaljujemo Oliveru Dunku i Christianu R. iz tima 1Password na pomoći.

WebKit

Zahvaljujemo na pomoći anonimnom istraživaču i korisniku scarlet.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 11. lipnja 2024.