Az iOS 16 biztonsági változásjegyzéke

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Kiadás dátuma: 2022. szeptember 12.

Accelerate Framework

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2022-42795: ryuzaki

Bejegyzés hozzáadva: 2022. október 27.

AppleAVD

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) és egy anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

AppleAVD

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) és John Aakerblom (@jaakerblom, mindketten: ABC Research s.r.o), Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Bejegyzés hozzáadva: 2022. október 27.

AppleMobileFileIntegrity

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2022-32877: Wojciech Reguła (@_r3ggi, SecuRing)

Bejegyzés hozzáadva: 2023. március 16.

Apple Neural Engine

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Bejegyzés hozzáadva: 2022. október 27.

Apple Neural Engine

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Bejegyzés hozzáadva: 2022. október 27.

Apple TV

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2022-32909: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2022. október 27.

Contacts

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)

Crash Reporter

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználó olvasni tudott korábbi diagnosztikai naplókat.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-32867: Kshitij Kumar és Jai Musunuri (Crowdstrike)

Bejegyzés hozzáadva: 2022. október 27.

DriverKit

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32865: Linus Henze (Pinauten GmbH; pinauten.de)

Bejegyzés hozzáadva: 2022. október 27.

Exchange

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A magas hálózati jogosultságú felhasználók meg tudták szerezni az e-mail-fiókok hitelesítési adatait.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)

Bejegyzés hozzáadva: 2022. október 27., frissítve: 2023. március 16.

FaceTime

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Előfordult, hogy a felhasználók audiót és videót küldtek Csoportos FaceTime-hívás keretében anélkül, hogy erről tudtak volna.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois at Urbana-Champaign), Rohan Pahwa (Rutgers University) és Bao Nguyen (University of Florida)

Bejegyzés hozzáadva 2023. március 16.

GPU Drivers

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk több határértéken kívüli írási hibát.

CVE-2022-32793: anonim kutató

Bejegyzés hozzáadva 2023. március 16.

GPU Drivers

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26744: egy anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

GPU Drivers

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-32903: anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

ImageIO

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-1622

Bejegyzés hozzáadva: 2022. október 27.

Image Processing

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Bejegyzés hozzáadva: 2022. október 27.

IOGPUFamily

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32887: anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

Kernel

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egyes appok képesek voltak felfedni a kernelmemóriát.

Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2022-32916: Pan ZhenPeng (STAR Labs SG Pte. Ltd.)

Bejegyzés hozzáadva 2022. november 9-én.

Kernel

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-32914: Zweig (Kunlun Lab)

Bejegyzés hozzáadva: 2022. október 27.

Kernel

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

Bejegyzés frissítve: 2022. október 27.

Kernel

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2022-32917: anonim kutató

Maps

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32883: Ron Masas, breakpointhq.com

MediaLibrary

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-32908: anonim kutató

Notifications

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32879: Ubeydullah Sümer

Bejegyzés hozzáadva: 2022. október 27.

Photos

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan (Púne, India)

Bejegyzés hozzáadva: 2022. október 27., frissítve: 2023. március 16.

Safari

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32795: Narendra Bhati (Suma Soft Pvt. Ltd., Púne, India; @imnarendrabhati)

Safari Extensions

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A webhelyek a Safari webes bővítményein keresztül bizonyos esetekben képesek voltak követni a felhasználót.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Sandbox

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)

Bejegyzés hozzáadva: 2022. október 27.

Security

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az appok meg tudták kerülni a kódaláírási ellenőrzéseket.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.

CVE-2022-42793: Linus Henze (Pinauten GmbH; pinauten.de)

Bejegyzés hozzáadva: 2022. október 27.

Shortcuts

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a fényképekhez.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32872: Elite Tech Guru

Sidecar

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Bejegyzés hozzáadva: 2022. október 27.

Siri

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével le tudott kérni magánjellegű naptárinformációkat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32871: Amit Prajapat (Payatu Security Consulting Private Limited)

Bejegyzés hozzáadva 2023. március 16.

Siri

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével meg tudott szerezni néhány híváselőzményekkel kapcsolatos információt.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32870: Andrew Goldberg (The McCombs School of Business), The University (Texas at Austin, linkedin.com/andrew-goldberg-/)

Bejegyzés hozzáadva: 2022. október 27.

Software Update

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2022-42791: Mickey Jin (@patch1t; Trend Micro)

Bejegyzés hozzáadva 2022. november 9-én.

SQLite

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-36690

Bejegyzés hozzáadva: 2022. október 27.

Time Zone

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Előfordult, hogy törölt kontaktok is megjelentek a keresési eredmények között

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32859

Bejegyzés hozzáadva: 2022. október 27.

Watch app

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Előfordult, hogy egy alkalmazás olvasni tudta az állandó készülékazonosítókat.

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Bejegyzés hozzáadva: 2022. október 27.

Weather

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32875: anonim kutató

Bejegyzés hozzáadva: 2022. október 27.

WebKit

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Illetéktelenek felhasználók hozzá tudtak férni a böngészési előzményekhez.

Leírás: Probléma merült fel a webhelyadatok tárolására használt fájlok elérési útvonalával. A webhelyadatok tárolási módjának fejlesztésével hárult el a probléma.

CVE-2022-32833: Fitzl Csaba (@theevilbit, Offensive Security), Jeff Johnson

Bejegyzés hozzáadva 2022. november 9-én.

WebKit

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Bejegyzés hozzáadva: 2022. október 27.

WebKit

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 és egy névtelen kutató

Bejegyzés hozzáadva: 2022. október 27.

WebKit

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

WebKit Bugzilla: 242762
CVE-32912-21: Jeonghoon Shin (@singi21a), a Trend Micro Zero Day Initiative közreműködőjeként

WebKit Sandboxing

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: A sandbox továbbfejlesztésével kiküszöböltük a hozzáféréssel kapcsolatos problémát.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 és @jq0904 (DBAppSecurity's WeBin lab)

Bejegyzés hozzáadva: 2022. október 27.

Wi-Fi

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-46709: Wang Yu (Cyberserval)

Bejegyzés hozzáadva 2023. március 16.

Wi-Fi

A következőkhöz érhető el: iPhone 8 és újabb modellek

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-32925: Wang Yu (Cyberserval)

Bejegyzés hozzáadva: 2022. október 27.

AirDrop

Köszönjük Alexander Heinrich, Milan Stute és Christian Weinert (Darmstadti Műszaki Egyetem) segítségét.

Bejegyzés hozzáadva: 2022. október 27.

AppleCredentialManager

Köszönjük @jonathandata1 segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Calendar UI

Köszönjük Abhay Kailasia (@abhay_kailasia; Lakshmi Narain College of Technology, Bhopal) segítségét.

Bejegyzés hozzáadva: 2022. október 27.

CoreGraphics

Köszönjük Simon de Vegt segítségét.

Bejegyzés hozzáadva 2022. november 9-én.

FaceTime

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Find My

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Game Center

Szeretnénk megköszönni Joshua Jones segítségét.

iCloud

Köszönjük Bülent Aytulun és egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Identity Services

Szeretnénk megköszönni Joshua Jones segítségét.

Kernel

Köszönjük Pan ZhenPeng(@Peterpan0927), Tingting Yin (Tsinghua University) és Min Zheng (Ant Group), valamint egy névtelen kutató segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Mail

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Notes

Köszönjük Edward Riley (Iron Cloud Limited, ironclouduk.com) segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Photo Booth

Köszönjük Prashanth Kannan of Dremio segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Safari

Köszönjük Scott Hatfield (Sub-Zero Group) segítségét.

Bejegyzés hozzáadva 2023. március 16.

Sandbox

Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) segítségét.

Bejegyzés hozzáadva: 2022. október 27.

Shortcuts

Köszönjük Shay Dror segítségét.

Bejegyzés hozzáadva: 2022. október 27.

SOS

Köszönjük Xianfeng Lu és Lei Ai (mindketten OPPO Amber Security Lab) segítségét.

Bejegyzés hozzáadva: 2022. október 27.

UIKit

Köszönjük Aleczander Ewing, Simon de Vegt és egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2022. október 27.

WebKit

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2022. október 27.

WebRTC

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2022. október 27.