Az iOS 16.7.2 és az iPadOS 16.7.2 biztonsági változásjegyzéke

Ez a dokumentum az iOS 16.7.2 és az iPadOS 16.7.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 16.7.2 és iPadOS 16.7.2

Kiadási dátum: 2023. október 25.

CoreAnimation

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40449: Tomi Tokics (@tomitokics, iTomsn0w)

Core Recents

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A problémát a naplózás megtisztításával orvosoltuk.

CVE-2023-42823

Bejegyzés hozzáadva 2024. január 16-án.

Find My

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-40413: Adam M.

ImageIO

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40416: JZ

ImageIO

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-42848: JZ

Bejegyzés hozzáadva 2024. január 16-án.

IOTextEncryptionFamily

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40423: anonim kutató

Kernel

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-42849: Linus Henze (Pinauten GmbH, pinauten.de)

libc

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Hatás: Az ártó szándékkal módosított bemenet feldolgozása tetszőleges kódfuttatáshoz vezethet a felhasználó által telepített alkalmazásokban.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-40446: inooo

Bejegyzés hozzáadva: 2023. november 3.

libxpc

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-42942: Mickey Jin (@patch1t)

Bejegyzés hozzáadva 2024. január 16-án.

Mail Drafts

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Az E-mail-cím elrejtése funkció váratlanul kikapcsolódhat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2023-42846: Talal Haj Bakry és Tommy Mysk (Mysk Inc. @mysk_co)

Pro Res

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu és Guang Gong (360 Vulnerability Research Institute)

Pro Res

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu és Guang Gong (360 Vulnerability Research Institute)

Bejegyzés hozzáadva 2024. január 16-án.

Safari

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor felfedhetők voltak a böngészési előzmények.

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2023-41977: Alex Renda

Siri

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2023-41997: Bistrit Dahal

CVE-2023-41982: Bistrit Dahal

Bejegyzés frissítve: 2024. február 16.

Weather

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-41254: Cristian Dinca (Tudor Vianu Országos Beiskolázású Informatikai Középiskola, Románia)

WebKit

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Hatás: A felhasználó jelszavát a VoiceOver hangosan felolvashatja

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

WebKit Bugzilla: 248717

CVE-2023-32359: Claire Houston

WebKit

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 259836

CVE-2023-40447: 이준성 (Junsung Lee, Cross Republic)

WebKit

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

WebKit Bugzilla: 260173

CVE-2023-42852: Pedro Ribeiro (@pedrib1337) és Vitor Pedreira (@0xvhp_, Agile Information Security)

Bejegyzés frissítve: 2024. február 16.

WebKit

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

WebKit Bugzilla: 259890

CVE-2023-41976: 이준성(Junsung Lee)

WebKit

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

WebKit Bugzilla: 260046

CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Bejegyzés hozzáadva 2024. január 16-án.

WebKit Process Model

A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 260757

CVE-2023-41983: 이준성(Junsung Lee)

További köszönetnyilvánítás

libxml2

Köszönjük OSS-Fuzz, Ned Williamson (Google Project Zero) segítségét.

libarchive

Köszönjük Bahaa Naamneh segítségét.

WebKit

Köszönjük egy anonim kutató segítségét.

WebKit

Köszönjük Gishan Don Ranasinghe és egy anonim kutató segítségét.

Bejegyzés hozzáadva 2024. január 16-án.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: