Az iOS 15.7.2 és az iPadOS 15.7.2 biztonsági változásjegyzéke
Ez a dokumentum az iOS 15.7.2 és az iPadOS 15.7.2 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 15.7.2 és iPadOS 15.7.2
AppleAVD
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok elemzésekor tetszőleges kernelkód végrehajtására került sor.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-46694: Andrey Labunets és Nikita Tarakanov
AVEVideoEncoder
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2022-42848: ABC Research s.r.o
File System
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-42861: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Graphics Driver
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok elemzésekor váratlan rendszerleállásra került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42846: Willy R. Vasquez (The University of Texas, Austin)
IOHIDFamily
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2022-42864: Tommy Muir (@Muirey03)
iTunes Store
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hiba lépett fel az URL-ek elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-42837: Weijia Dai (@dwj1210, Momo Security)
Kernel
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2022-46689: Ian Beer (Google Project Zero)
libxml2
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2022-40303: Maddie Stone (Google Project Zero)
libxml2
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-40304: Ned Williamson és Nathan Wachholz (Google Project Zero)
ppp
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42840: anonim kutató
Preferences
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az appok tetszőleges jogosultságokat tudtak használni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Safari
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
TCC
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-46718: Michael (Biscuit) Thomas
Weather
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-46703: Wojciech Reguła (@_r3ggi, SecuRing) és egy anonim kutató
WebKit
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren és Hang Shu (Institute of Computing Technology, Chinese Academy of Sciences)
WebKit
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)
WebKit
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2022-46691: anonim kutató
WebKit
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42852: hazbinhotel, a Trend Micro Zero Day Initiative közreműködőjeként
WebKit
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
A következőkhöz érhető el: iPhone 6s (az összes modell), iPhone 7 (az összes modell), iPhone SE (1. generációs), iPad Pro (az összes modell), iPad Air 2 és újabb modellek, 5. generációs és újabb iPad, iPad mini 4 és újabb modellek, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tisztában van vele, hogy a problémát aktívan kihasználhatták az iOS 15.1 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy típustévesztési hibát.
CVE-2022-42856: Clément Lecigne (Google's Threat Analysis Group)
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.
