Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 15.7.4 i iPadOS 15.7.4
Objavljeno 27. ožujka 2023.
Accessibility
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-23541: Csaba Fitzl (@theevilbit) (Offensive Security)
Calendar
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: uvoz zlonamjerne pozivnice za kalendarski događaj mogao bi izdvojiti korisničke informacije
Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija u memoriji za testiranje mogla bi otkriti koja aplikacija trenutačno upotrebljava kameru
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27936: Tingting Yin (Sveučilište Tsinghua)
Find My
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-23537: Adam M.
Unos je ažuriran 21. prosinca 2023.
FontParser
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-27956: Ye Zhang (Baidu Security)
FontParser
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32366: Ye Zhang (@VAR10CK) (Baidu Security)
Unos dodan 21. prosinca 2023.
Identity Services
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-27928: Csaba Fitzl (@theevilbit) (Offensive Security)
ImageIO
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23535: ryuzaki
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Unos je dodan 1. svibnja 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-23536: Félix Poulin-Bélanger i David Pan Ogea
Unos je dodan 1. svibnja 2023., a ažuriran 21. prosinca 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte.) Ltd.)
Unos dodan 21. prosinca 2023.
libpthread
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2023-41075: Zweig (Kunlun Lab)
Unos dodan 21. prosinca 2023.
Model I/O
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27949: Mickey Jin (@patch1t)
Model I/O
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-27950: Mickey Jin (@patch1t)
Unos dodan 21. prosinca 2023.
NetworkExtension
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: korisnik s privilegiranim mrežnim ovlastima mogao bi lažirati VPN poslužitelj koji je konfiguriran uz provjeru autentičnosti samo putem EAP protokola na uređaju
Opis: taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies) te Wenchao Li i Xiaolong Bai (Alibaba Group)
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: web-mjesto moglo bi pratiti osjetljive korisničke podatke
Opis: problem je riješen uklanjanjem podataka o izvoru.
WebKit Bugzilla: 250837
CVE-2023-27954: anonimni istraživač
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
WebKit Bugzilla: 251944
CVE-2023-23529: anonimni istraživač
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 250429
CVE-2023-28198: korisnik hazbinhotel koji surađuje s inicijativom Trend Micro Zero Day Initiative
Unos dodan 21. prosinca 2023.
WebKit PDF
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
WebKit Bugzilla: 249169
CVE-2023-32358: anonimni istraživač i inicijativa Zero Day (Trend Micro)
Unos dodan 21. prosinca 2023.
WebKit Web Inspector
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: udaljeni korisnik mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) iz laboratorija SSD Labs
Unos je dodan 1. svibnja 2023.
Dodatna zahvala
Zahvaljujemo na pomoći Fabianu Isingu, Damianu Poddebniaku, Tobiasu Kappertu, Christophu Saatjohannu i Sebastianu Schinzelu sa Sveučilišta primijenjenih znanosti Münster.
Unos je ažuriran 1. svibnja 2023.
WebKit Web Inspector
Na pomoći zahvaljujemo korisnicima Dohyun Lee (@l33d0hyun) i rixer (@pwning_me) (SSD Labs).