Informacije o sigurnosnom sadržaju sustava iOS 15.7.4 i iPadOS 15.7.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 15.7.4 i iPadOS 15.7.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 15.7.4 i iPadOS 15.7.4

Objavljeno 27. ožujka 2023.

Accessibility

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-23541: Csaba Fitzl (@theevilbit) (Offensive Security)

Calendar

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: uvoz zlonamjerne pozivnice za kalendarski događaj mogao bi izdvojiti korisničke informacije

Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Camera

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija u memoriji za testiranje mogla bi otkriti koja aplikacija trenutačno upotrebljava kameru

Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

CommCenter

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-27936: Tingting Yin (Sveučilište Tsinghua)

Find My

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-23537: Adam M.

Unos je ažuriran 21. prosinca 2023.

FontParser

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-27956: Ye Zhang (Baidu Security)

FontParser

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-32366: Ye Zhang (@VAR10CK) (Baidu Security)

Unos dodan 21. prosinca 2023.

Identity Services

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-27928: Csaba Fitzl (@theevilbit) (Offensive Security)

ImageIO

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2023-27946: Mickey Jin (@patch1t)

ImageIO

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-23535: ryuzaki

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2023-28200: Arsenii Kostromin (0x3c3e)

Unos je dodan 1. svibnja 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2023-27941: Arsenii Kostromin (0x3c3e)

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-27969: Adam Doupé (ASU SEFCOM)

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea

Unos je dodan 1. svibnja 2023., a ažuriran 21. prosinca 2023.

Kernel

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)

Unos dodan 21. prosinca 2023.

libpthread

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2023-41075: Zweig (Kunlun Lab)

Unos dodan 21. prosinca 2023.

Model I/O

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-27949: Mickey Jin (@patch1t)

Model I/O

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-27950: Mickey Jin (@patch1t)

Unos dodan 21. prosinca 2023.

NetworkExtension

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi lažirati VPN poslužitelj koji je konfiguriran uz provjeru autentičnosti samo putem EAP protokola na uređaju

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2023-28182: Zhuowei Zhang

Shortcuts

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) te Wenchao Li i Xiaolong Bai (Alibaba Group)

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: web-mjesto moglo bi pratiti osjetljive korisničke podatke

Opis: problem je riješen uklanjanjem podataka o izvoru.

WebKit Bugzilla: 250837
CVE-2023-27954: anonimni istraživač

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

WebKit Bugzilla: 251944
CVE-2023-23529: anonimni istraživač

WebKit

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 250429
CVE-2023-28198: korisnik hazbinhotel koji surađuje s inicijativom Trend Micro Zero Day Initiative

Unos dodan 21. prosinca 2023.

WebKit PDF

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

WebKit Bugzilla: 249169
CVE-2023-32358: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Unos dodan 21. prosinca 2023.

WebKit Web Inspector

Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)

Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) iz laboratorija SSD Labs

Unos je dodan 1. svibnja 2023.

Dodatna zahvala

Mail

Zahvaljujemo na pomoći Fabianu Isingu, Damianu Poddebniaku, Tobiasu Kappertu, Christophu Saatjohannu i Sebastianu Schinzelu sa Sveučilišta primijenjenih znanosti Münster.

Unos je ažuriran 1. svibnja 2023.

WebKit Web Inspector

Na pomoći zahvaljujemo korisnicima Dohyun Lee (@l33d0hyun) i rixer (@pwning_me) (SSD Labs).

 

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: