Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 16
Kiadás dátuma: 2022. szeptember 12.
Accelerate Framework
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2022-42795: ryuzaki
Bejegyzés hozzáadva: 2022. október 27.
AppleAVD
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) és egy anonim kutató
Bejegyzés hozzáadva: 2022. október 27.
AppleAVD
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) és John Aakerblom (@jaakerblom, mindketten: ABC Research s.r.o), Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Bejegyzés hozzáadva: 2022. október 27.
AppleMobileFileIntegrity
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.
CVE-2022-32877: Wojciech Reguła (@_r3ggi, SecuRing)
Bejegyzés hozzáadva: 2023. március 16.
Apple Neural Engine
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Bejegyzés hozzáadva: 2022. október 27.
Apple Neural Engine
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Bejegyzés hozzáadva: 2022. október 27.
Apple TV
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2022-32909: Fitzl Csaba (@theevilbit; Offensive Security)
Bejegyzés hozzáadva: 2022. október 27.
Contacts
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
Crash Reporter
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználó olvasni tudott korábbi diagnosztikai naplókat.
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2022-32867: Kshitij Kumar és Jai Musunuri (Crowdstrike)
Bejegyzés hozzáadva: 2022. október 27.
DriverKit
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32865: Linus Henze (Pinauten GmbH; pinauten.de)
Bejegyzés hozzáadva: 2022. október 27.
Exchange
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A magas hálózati jogosultságú felhasználók meg tudták szerezni az e-mail-fiókok hitelesítési adatait.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)
Bejegyzés hozzáadva: 2022. október 27., frissítve: 2023. március 16.
FaceTime
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Előfordult, hogy a felhasználók audiót és videót küldtek Csoportos FaceTime-hívás keretében anélkül, hogy erről tudtak volna.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois at Urbana-Champaign), Rohan Pahwa (Rutgers University) és Bao Nguyen (University of Florida)
Bejegyzés hozzáadva 2023. március 16.
GPU Drivers
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk több határértéken kívüli írási hibát.
CVE-2022-32793: anonim kutató
Bejegyzés hozzáadva 2023. március 16.
GPU Drivers
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-26744: egy anonim kutató
Bejegyzés hozzáadva: 2022. október 27.
GPU Drivers
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-32903: anonim kutató
Bejegyzés hozzáadva: 2022. október 27.
ImageIO
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2022-1622
Bejegyzés hozzáadva: 2022. október 27.
Image Processing
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.
Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Bejegyzés hozzáadva: 2022. október 27.
IOGPUFamily
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32887: anonim kutató
Bejegyzés hozzáadva: 2022. október 27.
Kernel
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egyes appok képesek voltak felfedni a kernelmemóriát.
Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-32916: Pan ZhenPeng (STAR Labs SG Pte. Ltd.)
Bejegyzés hozzáadva 2022. november 9-én.
Kernel
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-32914: Zweig (Kunlun Lab)
Bejegyzés hozzáadva: 2022. október 27.
Kernel
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Bejegyzés frissítve: 2022. október 27.
Kernel
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2022-32917: anonim kutató
Maps
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-32908: anonim kutató
Notifications
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32879: Ubeydullah Sümer
Bejegyzés hozzáadva: 2022. október 27.
Photos
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan (Púne, India)
Bejegyzés hozzáadva: 2022. október 27., frissítve: 2023. március 16.
Safari
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32795: Narendra Bhati (Suma Soft Pvt. Ltd., Púne, India; @imnarendrabhati)
Safari Extensions
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A webhelyek a Safari webes bővítményein keresztül bizonyos esetekben képesek voltak követni a felhasználót.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Sandbox
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)
Bejegyzés hozzáadva: 2022. október 27.
Security
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az appok meg tudták kerülni a kódaláírási ellenőrzéseket.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy kódaláírások hitelesítésével kapcsolatos problémát.
CVE-2022-42793: Linus Henze (Pinauten GmbH; pinauten.de)
Bejegyzés hozzáadva: 2022. október 27.
Shortcuts
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a fényképekhez.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32872: Elite Tech Guru
Sidecar
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A felhasználók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-42790: Om kothawade (Zaprico Digital)
Bejegyzés hozzáadva: 2022. október 27.
Siri
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével le tudott kérni magánjellegű naptárinformációkat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32871: Amit Prajapat (Payatu Security Consulting Private Limited)
Bejegyzés hozzáadva 2023. március 16.
Siri
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével meg tudott szerezni néhány híváselőzményekkel kapcsolatos információt.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32870: Andrew Goldberg (The McCombs School of Business), The University (Texas at Austin, linkedin.com/andrew-goldberg-/)
Bejegyzés hozzáadva: 2022. október 27.
Software Update
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2022-42791: Mickey Jin (@patch1t; Trend Micro)
Bejegyzés hozzáadva 2022. november 9-én.
SQLite
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-36690
Bejegyzés hozzáadva: 2022. október 27.
Time Zone
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Előfordult, hogy törölt kontaktok is megjelentek a keresési eredmények között
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32859
Bejegyzés hozzáadva: 2022. október 27.
Watch app
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Előfordult, hogy egy alkalmazás olvasni tudta az állandó készülékazonosítókat.
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Bejegyzés hozzáadva: 2022. október 27.
Weather
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32875: anonim kutató
Bejegyzés hozzáadva: 2022. október 27.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Illetéktelenek felhasználók hozzá tudtak férni a böngészési előzményekhez.
Leírás: Probléma merült fel a webhelyadatok tárolására használt fájlok elérési útvonalával. A webhelyadatok tárolási módjának fejlesztésével hárult el a probléma.
CVE-2022-32833: Fitzl Csaba (@theevilbit, Offensive Security), Jeff Johnson
Bejegyzés hozzáadva 2022. november 9-én.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Bejegyzés hozzáadva: 2022. október 27.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez
Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 és egy névtelen kutató
Bejegyzés hozzáadva: 2022. október 27.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
WebKit Bugzilla: 242762
CVE-32912-21: Jeonghoon Shin (@singi21a), a Trend Micro Zero Day Initiative közreműködőjeként
WebKit Sandboxing
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.
Leírás: A sandbox továbbfejlesztésével kiküszöböltük a hozzáféréssel kapcsolatos problémát.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 és @jq0904 (DBAppSecurity's WeBin lab)
Bejegyzés hozzáadva: 2022. október 27.
Wi-Fi
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-46709: Wang Yu (Cyberserval)
Bejegyzés hozzáadva 2023. március 16.
Wi-Fi
A következőkhöz érhető el: iPhone 8 és újabb modellek
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32925: Wang Yu (Cyberserval)
Bejegyzés hozzáadva: 2022. október 27.
További köszönetnyilvánítás
AirDrop
Köszönjük Alexander Heinrich, Milan Stute és Christian Weinert (Darmstadti Műszaki Egyetem) segítségét.
Bejegyzés hozzáadva: 2022. október 27.
AppleCredentialManager
Köszönjük @jonathandata1 segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Calendar UI
Köszönjük Abhay Kailasia (@abhay_kailasia; Lakshmi Narain College of Technology, Bhopal) segítségét.
Bejegyzés hozzáadva: 2022. október 27.
CoreGraphics
Köszönjük Simon de Vegt segítségét.
Bejegyzés hozzáadva 2022. november 9-én.
FaceTime
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Find My
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Game Center
Szeretnénk megköszönni Joshua Jones segítségét.
iCloud
Köszönjük Bülent Aytulun és egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Identity Services
Szeretnénk megköszönni Joshua Jones segítségét.
Kernel
Köszönjük Pan ZhenPeng(@Peterpan0927), Tingting Yin (Tsinghua University) és Min Zheng (Ant Group), valamint egy névtelen kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Notes
Köszönjük Edward Riley (Iron Cloud Limited, ironclouduk.com) segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Photo Booth
Köszönjük Prashanth Kannan of Dremio segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Safari
Köszönjük Scott Hatfield (Sub-Zero Group) segítségét.
Bejegyzés hozzáadva 2023. március 16.
Sandbox
Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) segítségét.
Bejegyzés hozzáadva: 2022. október 27.
Shortcuts
Köszönjük Shay Dror segítségét.
Bejegyzés hozzáadva: 2022. október 27.
SOS
Köszönjük Xianfeng Lu és Lei Ai (mindketten OPPO Amber Security Lab) segítségét.
Bejegyzés hozzáadva: 2022. október 27.
UIKit
Köszönjük Aleczander Ewing, Simon de Vegt és egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
WebKit
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.
WebRTC
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2022. október 27.