Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 15.7.8 i iPadOS 15.7.8
Izdano 24. srpnja 2023.
Accessibility
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40442: Nick Brook
Stavka dodana 8. rujna 2023.
Apple Neural Engine
Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Unos je dodan 27. srpnja 2023.
Apple Neural Engine
Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone 8 i noviji, iPad Pro (treće generacije) i noviji, iPad Air (treće generacije) i noviji te iPad mini (pete generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CFNetwork
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-40392: Wojciech Regula (SecuRing) (wojciechregula.blog)
Stavka dodana 8. rujna 2023.
Find My
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija bi mogla čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2023-32416: Wojciech Regula (SecuRing) (wojciechregula.blog)
FontParser
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom datoteke fonta može doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-41990: Apple Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)
Stavka dodana 8. rujna 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38603: Zweig (Kunlun Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2023-38590: Zweig (Kunlun Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2023-38604: anonimni istraživač
Unos je dodan 27. srpnja 2023.
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs SG Pte. Ltd.)
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija bi mogla izmijeniti osjetljivo kernelsko stanje. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 15.7.1.
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) i Boris Larin (@oct0xor) (Kaspersky)
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie i Xiaolong Bai (Alibaba Group)
Kernel
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38603: Zweig (Kunlun Lab)
Unos je dodan 22. prosinca 2023.
libxpc
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-38593: Noah Roskin-Frazee
Unos je dodan 27. srpnja 2023.
libxpc
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2023-38565: Zhipeng Huo (@R3dF09) iz sigurnosnog odjela Xuanwu Lab tvrtke Tencent (xlab.tencent.com)
Unos je dodan 27. srpnja 2023.
Security
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42831: James Duffy (mangoSecure)
Unos je dodan 22. prosinca 2023.
Weather
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: aplikacija može odrediti korisnikovu trenutnu lokaciju
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-38605: Adam M.
Stavka dodana 8. rujna 2023.
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: web-mjesto moglo bi pratiti osjetljive korisničke podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin i Yuval Yarom
Unos je dodan 27. srpnja 2023.
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom dokumenta moglo bi doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: taj je problem riješen poboljšanim provjerama.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Unos je dodan 27. srpnja 2023.
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 259231
CVE-2023-37450: anonimni istraživač
Unos je dodan 27. srpnja 2023.
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: web-mjesto može zaobići pravilo istog podrijetla
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd, Pune – Indija)
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Googleova grupa za analizu prijetnji) i Donncha Ó Cearbhaill (sigurnosni odjel organizacije Amnesty International)
WebKit
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Process Model
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) (Cross Republic)
WebKit Web Inspector
Dostupno za: iPhone 6s (svi modeli), iPhone 7 (svi modeli), iPhone SE (1. generacije), iPad Air 2, iPad mini (4. generacije) i iPod touch (7. generacije)
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Dodatna zahvala
Željeli bismo zahvaliti Parvezu Anwaru na pomoći.
Screenshots
Željeli bismo zahvaliti Ericu Williamsu (@eric5310pub), Yanniku Bloschecku (yannikbloscheck.com), Luci Dametto i Jacopu Casatiju na pomoći.
Stavka dodana 8. rujna 2023.
WebKit
Željeli bismo zahvaliti Narendri Bhati (twitter.com/imnarendrabhati) iz tvrtke Suma Soft Pvt. Ltd, – Indija) na pomoći.
Unos je dodan 27. srpnja 2023.
WebRTC
Na pomoći zahvaljujemo anonimnom istraživaču.