Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 17.1 I iPadOS 17.1
Izdano 25. listopada 2023.
Automation
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima
Opis: problem je riješen poboljšanim provjerama.
CVE-2023-42952: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)
Unos dodan 16. veljače 2024.
Contacts
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41072: Wojciech Regula (SecuRing) (wojciechregula.blog) i Csaba Fitzl (@theevilbit) (Offensive Security)
CVE-2023-42857: Noah Roskin-Frazee i profesor J. (ZeroClicks.ai Lab)
CoreAnimation
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)
Core Recents
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen saniranjem zapisivanja
CVE-2023-42823
Unos dodan 16. veljače 2024.
FairPlay
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacije bi mogle dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42928: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs SG Pte. Ltd.)
Unos dodan 16. veljače 2024.
Find My
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-40413: Adam M.
Find My
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.
CVE-2023-42834: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos dodan 16. veljače 2024.
Game Center
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem s dozvolom riješen je dodatnim ograničenjima.
CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)
Unos dodan 16. veljače 2024.
ImageIO
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: obradom slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40416: JZ
ImageIO
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42848: JZ
Unos dodan 16. veljače 2024.
IOTextEncryptionFamily
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40423: anonimni istraživač
Kernel
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)
libc
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-40446: inooo
Unos je dodan 3. studenoga 2023.
libxpc
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.
CVE-2023-42942: Mickey Jin (@patch1t)
Unos dodan 16. veljače 2024.
Mail Drafts
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: značajka Sakrij moj e-mail može se neočekivano deaktivirati
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2023-42846: Talal Haj Bakry i Tommy Mysk (Mysk Inc.) @mysk_co
Passkeys
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42847: anonimni istraživač
Photos
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2023-42845: Bistrit Dahal
Unos ažuriran 16. veljače 2024
Pro Res
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)
Pro Res
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)
Unos dodan 16. veljače 2024.
Safari
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: korisnik možda ne može izbrisati stavke povijesti pretraživanja
Opis: problem je riješen poboljšanim rukovanjem predmemorijama.
CVE-2023-42951: Adis Alic
Unos dodan 16. veljače 2024.
Sandbox
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: napadač bi mogao pristupiti povezanim mrežnim jedinicama postavljenim u matični direktorij
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos dodan 16. veljače 2024.
Sandbox
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)
Unos dodan 16. veljače 2024.
Setup Assistant
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: napadač s fizičkim pristupom mogao bi neopaženo zadržati Apple ID na izbrisanom uređaju
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2023-42855: Sam Lakmaker
Unos dodan 16. veljače 2024.
Share Sheet
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula of SecuRing (wojciechregula.blog) i Cristian Dinca (državna srednja škola za računalne znanosti „Tudor Vianu“, Rumunjska)
Unos dodan 16. veljače 2024.
Siri
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2023-41982: Bistrit Dahal
CVE-2023-41997: Bistrit Dahal
CVE-2023-41988: Bistrit Dahal
Unos ažuriran 16. veljače 2024
Siri
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-42946
Unos dodan 16. veljače 2024.
Status Bar
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: uređaj se možda opetovano neće moći zaključati
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, anonimni istraživač, Lorenzo Cavallaro i Harry Lewandowski
Weather
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)
WebKit
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) (Cross Republic)
WebKit
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: logički problem riješen je poboljšanim provjerama.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) (Agile Information Security)
Unos ažuriran 16. veljače 2024
WebKit
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Unos dodan 16. veljače 2024.
WebKit
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: aktivnost iz privatnog pregledavanja korisnika može se neočekivano spremiti u Izvješće o privatnosti aplikacije
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2023-42939: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)
Unos dodan 16. veljače 2024.
WebKit Process Model
Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Dodatna zahvala
libarchive
Zahvaljujemo na pomoći Bahaau Naamnehu.
libxml2
Na pomoći zahvaljujemo timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google.
Power Manager
Na pomoći zahvaljujemo korisniku Xia0o0o0o (@Nyaaaaa_ovo) (University of California, San Diego).
ReplayKit
Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.
Unos dodan 16. veljače 2024.
VoiceOver
Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.
WebKit
Na pomoći zahvaljujemo Gishanu Don Ranasingheju i anonimnom istraživaču.
Unos dodan 16. veljače 2024.
WidgetKit
Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).
Unos dodan 16. veljače 2024.