Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 16.5 i iPadOS 16.5
Objavljeno 18. svibnja 2023.
Accessibility
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: prava i dozvole povezane s privatnošću dodijeljene ovoj aplikaciji možda će koristiti zlonamjerna aplikacija
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: napadač bi mogao neovlašteno objaviti e-mailove korisničkih računa
Opis: problem s dozvolama riješen je poboljšanim redigiranjem osjetljivih podataka.
CVE-2023-34352: Sergii Kryvoblotskyi (MacPaw Inc.)
Unos dodan 5. rujna 2023.
Apple Neural Engine
Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-32425: Mohamed GHANNAM (@_simo36)
Unos dodan 5. rujna 2023.
AppleMobileFileIntegrity
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32411: Mickey Jin (@patch1t)
Associated Domains
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32371: James Duffy (mangoSecure)
Cellular
Dostupno za: iPhone 8 i iPhone X
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-32419: Amat Cama (Vigilant Labs)
Core Location
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32399: Adam M.
Unos ažuriran 5. rujna 2023.
CoreServices
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-32392: Adam M.
Unos ažuriran 5. rujna 2023.
ImageIO
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32372: Meysam Firouzi (laboratorij za inovacije @R00tkitSMM Mbition mercedes-benz u suradnji s projektom Trend Micro Zero Day Initiative)
Unos ažuriran 5. rujna 2023.
ImageIO
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak; obrada slike mogla bi izazvati izvršavanje proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
IOSurfaceAccelerator
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32354: Linus Henze (Pinauten GmbH, pinauten.de)
IOSurfaceAccelerator
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32420: tim tvrtke CertiK SkyFall i Linus Henze (Pinauten GmbH (pinauten.de))
Unos ažuriran 5. rujna 2023.
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2023-27930: 08Tc3wBB iz tvrtke Jamf
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32398: Adam Doupé iz organizacije ASU SEFCOM
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) iz tvrtke Synacktiv (@Synacktiv) u suradnji s projektom Zero Day Initiative tvrtke Trend Micro
LaunchServices
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija može zaobići provjere alata Gatekeeper
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) iz organizacije SecuRing (wojciechregula.blog)
libxml2
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: veći broj problema u medijateci libxml2
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30993: OSS-Fuzz i Ned Williamson (Google Project Zero)
CVE-2021-30993: OSS-Fuzz i Ned Williamson (Google Project Zero)
Unos je dodan 21. prosinca 2023.
MallocStackLogging
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: ovaj je problem riješen poboljšanim rukovanjem datotekom.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Unos dodan 5. rujna 2023.
Metal
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom 3D modela moglo bi doći do otkrivanja procesne memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32403: Adam M.
Unos ažuriran 5. rujna 2023.
NSURLSession
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanjima protokola za rukovanje datotekama.
CVE-2023-32437: Thijs Alkemade (Computest Sector 7)
Unos dodan 5. rujna 2023.
PDFKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: otvaranje PDF datoteke moglo bi dovesti do neočekivanog zatvaranja aplikacije
Opis: problem odbijanja usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32385: Jonathan Fritz
Photos
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: opcija Poništavanje tresenjem može omogućiti ponovno pojavljivanje izbrisane fotografije bez provjere autentičnosti
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32365: Jiwon Park
Photos
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti putem Vizualnog traženja
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32390: Julian Szulc
Sandbox
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla dobiti pristup datotekama konfiguracije sustava čak i nakon što joj je opozvana dozvola za to
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Jeff Johnson, Koh M. Nakagawa (FFRI Security, Inc.), Kirin (@Pwnrin) i Csaba Fitzl (@theevilbit) (Offensive Security)
Security
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.
CVE-2023-32432: Kirin (@Pwnrin)
Unos dodan 5. rujna 2023.
Shortcuts
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32391: Wenchao Li i Xiaolong Bai (Alibaba Group)
Shortcuts
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32404: Mickey Jin (@patch1t) i Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com) i anonimni istraživač
Siri
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: osoba s fizičkim pristupom uređaju mogla bi sa zaključanog zaslona pristupiti kontaktima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-32394: Khiem Tran
SQLite
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: ovaj je problem riješen dodavanjem dodatnih ograničenja za izradu SQLite zapisnika
CVE-2023-32422: Gergely Kalman (@gergely_kalman) i Wojciech Reguła (SecuRing) (wojciechregula.blog)
Unos je ažuriran 2. lipnja 2023.
StorageKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: postavke vatrozida neke aplikacije možda neće funkcionirati nakon što izađete iz aplikacije Postavke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-28202: Satish Panduranga i anonimni istraživač
Telephony
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: udaljeni napadači mogao bi izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32412: Ivan Fratric iz tima Project Zero tvrtke Google
TV App
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-32408: anonimni istraživač
Weather
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32415: Wojciech Regula (SecuRing) (wojciechregula.blog), anonimni istraživač
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Unos je ažuriran 21. prosinca 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Googleova grupa za analizu prijetnji) i Donncha Ó Cearbhaill (sigurnosni odjel organizacije Amnesty International)
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
WebKit Bugzilla: 254930
CVE-2023-28204: anonimni istraživač
Problem je prvi put rješavan u brzom sigurnosnom odgovoru za iOS 16.4.1 (a) i iPadOS 16.4.1 (a).
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 254840
CVE-2023-32373: anonimni istraživač
Problem je prvi put rješavan u brzom sigurnosnom odgovoru za iOS 16.4.1 (a) i iPadOS 16.4.1 (a).
Wi-Fi
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)
Dodatna zahvala
Accounts
Zahvaljujemo Sergiiju Kryvoblotskyiju (MacPaw Inc.) na pomoći.
CloudKit
Zahvaljujemo Iconicu na pomoći.
Find My
Na pomoći zahvaljujemo Abhinavu Thakuru, Artemu Starovoitovu, Hodolu K i anonimnom istraživaču
Unos je dodan 21. prosinca 2023.
libxml2
Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.
Reminders
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Security
Zahvaljujemo Brandonu Tomsu na pomoći.
Share Sheet
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Transporter
Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.
Unos je dodan 21. prosinca 2023.
Wallet
Želimo zahvaliti Jamesu Duffyju (mangoSecure) na pomoći.
WebRTC
Na pomoći zahvaljujemo Dohyunu Leeju (@l33d0hyun) (PK Security) i anonimnom istraživaču
Unos je dodan 21. prosinca 2023.
Wi-Fi
Na pomoći zahvaljujemo Adamu M.
Unos je dodan 21. prosinca 2023.
Wi-Fi Connectivity
Na pomoći zahvaljujemo Adamu M.
Unos je ažuriran 21. prosinca 2023.