Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 16.7 i iPadOS 16.7
Izdano 21. rujna 2023.
App Store
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje
Opis: problem je riješen poboljšanim rukovanjem protokolima.
CVE-2023-40448: w0wbox
Stavka je dodana 26. rujna 2023.
Ask to Buy
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-38612: Chris Ross (Zoom)
Unos je dodan 22. prosinca 2023.
Biometric Authentication
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2023-41232: Liang Wei (PixiePoint Security)
Stavka je dodana 26. rujna 2023.
CoreAnimation
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)
Stavka je dodana 26. rujna 2023.
Core Image
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti uređenim fotografijama spremljenima u privremeni direktorij
Opis: problem je riješen poboljšanim rukovanjem privremenim datotekama.
CVE-2023-40438: Wojciech Regula (SecuRing) (wojciechregula.blog)
Unos je dodan 22. prosinca 2023.
Game Center
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti kontaktima
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40395: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)
Stavka je dodana 26. rujna 2023.
Kernel
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: lokalni napadač mogao bi povećati svoje ovlasti. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-41992: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)
libxpc
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Stavka je dodana 26. rujna 2023.
libxpc
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Stavka je dodana 26. rujna 2023.
libxslt
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)
Stavka je dodana 26. rujna 2023.
MobileStorageMounter
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: korisnik bi si mogao povećati ovlasti
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2023-41068: Mickey Jin (@patch1t)
Stavka je dodana 26. rujna 2023.
Passkeys
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2023-40401: anonimni istraživač i weize she
Unos je dodan 22. prosinca 2023.
Pro Res
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-41063: tim tvrtke Certik Skyfall
Stavka je dodana 26. rujna 2023.
Safari
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-35990: Adriatik Raci iz tvrtke Sentry Cybersecurity
Stavka je dodana 26. rujna 2023.
Security
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: zlonamjerne aplikacije mogle bi zaobići provjeru valjanosti potpisa. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.
Opis: riješen je problem provjere valjanosti certifikata.
CVE-2023-41991: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)
Share Sheet
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivim podacima zabilježenima kada korisnik podijeli vezu
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-41070: Kirin (@Pwnrin)
Stavka je dodana 26. rujna 2023.
WebKit
Dostupno za: iPhone 8 i noviji, iPad Pro (svi modeli), iPad Air 3. generacije i noviji, iPad 5. generacije i noviji te iPad mini 5. generacije i noviji
Učinak: obradom web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem da se ovaj problem možda aktivno iskorištavao protiv verzija sustava iOS izdanih prije sustava iOS 16.7.
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak (The Citizen Lab) iz Munk škole Sveučilišta u Torontu i Maddie Stone (Skupina za analizu prijetnji tvrtke Google)
Dodatna zahvala
Apple Neural Engine
Na pomoći zahvaljujemo korisniku pattern-f (@pattern_F_) (Ant Security Light-Year Lab).
Unos je dodan 22. prosinca 2023.
AppSandbox
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Stavka je dodana 26. rujna 2023.
libxml2
Željeli bismo zahvaliti timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google na pomoći.
Stavka je dodana 26. rujna 2023.
Kernel
Željeli bismo se zahvaliti Billu Marczaku iz laboratorija The Citizen Lab iz Munk škole Sveučilišta u Torontu i Maddie Stone iz Skupine za analizu prijetnji tvrtke Google na pomoći.
WebKit
Željeli bismo se zahvaliti Khiemu Tranu i Narendri Bhatiju iz tvrtke Suma Soft Pvt. Ltd, Pune (India) na pomoći.
Stavka je dodana 26. rujna 2023.
WebRTC
Na pomoći zahvaljujemo anonimnom istraživaču.
Stavka je dodana 26. rujna 2023.