Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 15.7 és iPadOS 15.7
Kiadás dátuma: 2022. szeptember 12.
Apple Neural Engine
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
Bejegyzés hozzáadva: 2022. október 27.
Audio
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.
CVE-2022-42796: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2022. október 27., frissítve: 2023. május 1.
Backup
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Egyes alkalmazások képesek voltak iOS biztonsági mentésekhez hozzáférni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2022-32929: Fitzl Csaba (@theevilbit; Offensive Security)
Bejegyzés hozzáadva: 2022. október 27.
Contacts
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32911: Zweig (Kunlun Lab)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2022-32917: anonim kutató
Maps
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az alkalmazások be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A felhasználók bizonyos esetekben magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-32908: anonim kutató
Notifications
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32879: Ubeydullah Sümer
Bejegyzés hozzáadva: 2022. október 27.
Safari
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32795: Narendra Bhati (Suma Soft Pvt. Ltd., Púna, India; @imnarendrabhati)
Safari Extensions
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A webhelyek a Safari webes bővítményein keresztül bizonyos esetekben képesek voltak követni a felhasználót.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Security
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az appok meg tudták kerülni a kódaláírási ellenőrzéseket.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.
CVE-2022-42793: Linus Henze (Pinauten GmbH; pinauten.de)
Bejegyzés hozzáadva: 2022. október 27.
Shortcuts
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a fényképekhez.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32872: Elite Tech Guru
Sidecar
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-42790: Om kothawade (Zaprico Digital)
Bejegyzés hozzáadva: 2022. október 27.
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Bejegyzés hozzáadva: 2022. október 27.
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
WebKit Bugzilla: 242762
CVE-32912-21: Jeonghoon Shin (@singi21a), a Trend Micro Zero Day Initiative közreműködőjeként
WebKit Sandboxing
A következőkhöz érhető el: iPhone 6s és újabb, iPad Pro (az összes modell), iPad Air 2 és újabb, 5. generációs és újabb iPad, iPad mini 4 és újabb, 7. generációs iPod touch.
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: A sandbox továbbfejlesztésével kiküszöböltük a hozzáféréssel kapcsolatos problémát.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 és @jq0904 (DBAppSecurity's WeBin lab)
Bejegyzés hozzáadva: 2022. október 27.
További köszönetnyilvánítás
AppleCredentialManager
Köszönjük @jonathandata1 segítségét.
Bejegyzés hozzáadva: 2022. október 27.
FaceTime
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Game Center
Szeretnénk megköszönni Joshua Jones segítségét.
Identity Services
Szeretnénk megköszönni Joshua Jones segítségét.
Kernel
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
WebKit
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
WebRTC
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.