Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 16.3 i iPadOS 16.3
Objavljeno 23. siječnja 2023.
AppleMobileFileIntegrity
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim provjerama radi sprječavanja neovlaštenih radnji.
CVE-2023-32438: Csaba Fitzl (@theevilbit) (Offensive Security) i Mickey Jin (@patch1t)
Unos dodan 5. rujna 2023.
AppleMobileFileIntegrity
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: ovaj problem riješen je omogućavanjem dodatnog osiguranja pokretanja.
CVE-2023-23499: Wojciech Reguła (@_r3ggi) (SecuRing) (wojciechregula.blog)
Crash Reporter
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik će možda moći čitati proizvoljne datoteke kao korijenske
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2023-23520: Cees Elzinga
Unos dodan 20. veljače 2023.
FontParser
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obrada datoteke fonta može dovesti do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-41990: Apple
Unos dodan 8. rujna 2023.
Foundation
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23530: Austin Emmitt (@alkalinesec), viši stručnjak za računalnu sigurnost u centru Trellix Advanced Research Center
Unos dodan 20. veljače 2023., ažuriran 1. svibnja 2023.
Foundation
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23531: Austin Emmitt (@alkalinesec), viši stručnjak za računalnu sigurnost u centru Trellix Advanced Research Center
Unos dodan 20. veljače 2023., ažuriran 1. svibnja 2023.
ImageIO
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2023-23519: Meysam Firouzi @R00tkitSMM (Mbition Mercedes-Benz Innovation Lab), Yiğit Can YILMAZ (@yilmazcanyigit) i jzhu u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
Unos ažuriran 5. rujna 2023.
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23500: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd. (@starlabs_sg)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla odrediti raspored elemenata kernelske memorije
Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.
CVE-2023-23502: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd. (@starlabs_sg)
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23504: Adam Doupé (ASU SEFCOM)
Mail Drafts
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: citirana izvorna poruka može biti odabrana iz pogrešnog e-maila prilikom prosljeđivanja e-maila s Exchange računa
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-23498: Jose Lizandro Luevano
Unos je ažuriran 1. svibnja 2023.
Maps
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-23503: anonimni istraživač
Messages
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik može slati SMS-ove sa sekundarne eSIM kartice neovisno o tome što je konfigurirano da se za kontakt upotrebljava primarna eSIM kartica
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-28208: freshman
Unos dodan 5. rujna 2023.
Safari
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: posjećivanje web-stranice može dovesti do toga da aplikacija odbije uslugu
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-23512: Adriatik Raci
Screen Time
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-23505: Wojciech Reguła iz tvrtke SecuRing (wojciechregula.blog) i Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Unos je ažuriran 1. svibnja 2023.
Weather
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23511: Wojciech Regula (SecuRing) (wojciechregula.blog), anonimni istraživač
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 248885
CVE-2023-32393: Francisco Alonso (@revskills)
Unos dodan 28. lipnja 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren i Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 248268
CVE-2023-23518: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (tim ApplePIE)
WebKit Bugzilla: 248268
CVE-2023-23517: YeongHyeon Choi (@hyeon101010), Hyeon Park (@tree_segment), SeOk JEON (@_seokjeon), YoungSung Ahn (@_ZeroSung), JunSeo Bae (@snakebjs0107), Dohyun Lee (@l33d0hyun) (tim ApplePIE)
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: HTML dokument mogao bi obraditi iframes s osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim ojačanjem testnog okruženja za iframe.
WebKit Bugzilla: 241753
CVE-2022-0108: Luan Herrera (@lbherrera_)
Unos je dodan 1. svibnja 2023.
Dodatna zahvala
Core Data
Željeli bismo zahvaliti Austinu Emmittu (@alkalinesec), višem istraživaču sigurnosti u istraživačkom centru Trellix Advanced Research Center, na pomoći.
Unos dodan 8. rujna 2023.
Kernel
Željeli bismo zahvaliti Nicku Stenningu (Replicate) na pomoći.
Shortcuts
Željeli bismo zahvaliti Baibhavu Anandu Jha (ReconWithMe) i Cristianu Dincu (Tudor Vianu National High School of Computer Science, Rumunjska) za njihovu pomoć.
WebKit
Željeli bismo zahvaliti Eliyi Steinu (Confiant) na pomoći.