Az iOS 16.7.3 és az iPadOS 16.7.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 16.7.3 és az iPadOS 16.7.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 16.7.3 és iPadOS 16.7.3

Accounts

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-42919: Kirin (@Pwnrin)

Assets

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.

CVE-2023-42896: Mickey Jin (@patch1t)

AVEVideoEncoder

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2023-42884: anonim kutató

CallKit

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

CVE-2023-42962: Aymane Chabat

Find My

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2023-42922: Wojciech Regula (SecuRing; wojciechregula.blog)

ImageIO

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-42899: Meysam Firouzi @R00tkitSMM és Junsung Lee

IOUSBDeviceFamily

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Kernel

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv @Synacktiv)

Libsystem

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Elhárítottunk egy engedélyekkel kapcsolatos hibát a sebezhető kód eltávolításával és további ellenőrzések hozzáadásával.

CVE-2023-42893

WebKit

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-42883: Zoom Offensive Security Team

WebKit

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát kihasználhatták az iOS 16.7.1 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2023-42917: Clément Lecigne (a Google fenyegetéselemző csoportja)

WebKit

A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro

Érintett terület: Webes tartalmak feldolgozásakor adott esetben felfedhetők voltak bizalmas adatok. Az Apple tisztában van vele, hogy a problémát kihasználhatták az iOS 16.7.1 előtt kiadott iOS-verziókban.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2023-42916: Clément Lecigne (Google's Threat Analysis Group)