Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 16.4 és iPadOS 16.4
Kiadás dátuma: 2023. március 27.
Accessibility
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-23541: Fitzl Csaba (@theevilbit; Offensive Security)
App Store
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-42830: anonim kutató
Bejegyzés hozzáadva 2023. október 31.
Apple Neural Engine
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CVE-2023-27959: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2023-27970: Mohamed GHANNAM
Apple Neural Engine
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
AppleMobileFileIntegrity
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A felhasználók hozzáférést szerezhettek a fájlrendszer védett részeihez.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-23527: Mickey Jin (@patch1t)
AppleMobileFileIntegrity
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-27931: Mickey Jin (@patch1t)
Calendar
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott naptármeghívók importálása felhasználói adatok kiszivárgásához vezethetett.
Leírás: Hatékonyabb beviteltisztítással elhárítottunk több érvényesítési hibát.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.
Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CarPlay
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A magas hálózati jogosultságú felhasználók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2023-23494: Itay Iellin (General Motors Product Cyber Security)
ColorSync
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások képesek voltak eltérő fájlokat is olvasni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27955: JeongOhKyea
Core Bluetooth
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott Bluetooth-csomag feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2023-23528: Jianjun Dai és Guang Gong (360 Vulnerability Research Institute)
CoreCapture
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-28181: Tingting Yin (Tsinghua University)
Find My
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-28195: Adam M.
CVE-2023-23537: Adam M.
Bejegyzés frissítve: 2023. december 21.
FontParser
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2023-32366: Ye Zhang (@VAR10CK; Baidu Security)
Bejegyzés hozzáadva 2023. október 31.
FontParser
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-27956: Ye Zhang (@VAR10CK; Baidu Security)
Bejegyzés frissítve 2023. október 31.
Foundation
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott plist elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
CVE-2023-27937: anonim kutató
iCloud
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A felhasználóval megosztott iCloud-mappából származó fájlok bizonyos esetekben meg tudták kerülni a Gatekeepert.
Leírás: A Gatekeeperben további ellenőrzéseket vezettünk be a felhasználóval megosztott iCloud-mappákból származó fájlok letöltéséhez, ami megoldotta a problémát.
CVE-2023-23526: Jubaer Alnazi (TRS Group of Companies)
Identity Services
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-27928: Fitzl Csaba (@theevilbit; Offensive Security)
ImageIO
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-23535: ryuzaki
ImageIO
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-27929: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab) és jzhu, a Trend Micro Zero Day kezdeményezés keretében
ImageIO
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A képek feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2023-42862: Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)
CVE-2023-42865: jzhu a Trend Micro Zero Day Initiative keretében és Meysam Firouzi (@R00tkitSMM, Mbition Mercedes-Benz Innovation Lab)
Bejegyzés hozzáadva: 2023. december 21.
Kernel
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A felhasználók bizonyos esetekben szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2023-28187: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Bejegyzés hozzáadva 2023. október 31.
Kernel
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2023-28185: Pan ZhenPeng (STAR Labs SG Pte. Ltd.)
Bejegyzés hozzáadva 2023. október 31.
Kernel
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-32424: Zechao Cai (@Zech4o, Zhejiang University)
Bejegyzés hozzáadva 2023. október 31.
Kernel
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2023-27969: Adam Doupé (ASU SEFCOM)
Kernel
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-27933: sqrtpwn
Kernel
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-23536: Félix Poulin-Bélanger és David Pan Ogea
Bejegyzés hozzáadva: 2023. május 1., frissítve: 2023. október 31.
LaunchServices
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az internetről letöltött fájloknál bizonyos esetekben a rendszer nem alkalmazta a karanténjelölőt.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-27943: egy anonim kutató, Brandon Dalton (@partyD0lphin, Red Canary), Milan Tenk és Arthur Valiev (F-Secure Corporation)
Bejegyzés frissítve 2023. október 31.
LaunchServices
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások gyökérszintű jogosultságot tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2023-23525: Mickey Jin (@patch1t)
libpthread
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.
CVE-2023-41075: Zweig (Kunlun Lab)
Bejegyzés hozzáadva: 2023. december 21.
Magnifier
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egy iOS-készülékhez fizikai hozzáféréssel rendelkező személy a zárolt képernyőn meg tudta tekinteni a Nagyítóban használt legutolsó képet.
Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.
CVE-2022-46724: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology Bhopal)
Bejegyzés hozzáadva: 2023. augusztus 1.
NetworkExtension
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A hálózaton kiemelt jogosultsággal rendelkező felhasználók bizonyos esetekben meg tudták hamisítani az identitását egy olyan VPN-szervernek, amelyet EAP-only hitelesítéssel konfiguráltak a készüléken.
Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.
CVE-2023-28182: Zhuowei Zhang
Photos
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A Rejtett fotók albumba tartozó fájlokat a Vizuális definiálás funkcióval hitelesítés nélkül is meg lehetett tekinteni.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2023-23523: developStorm
Podcasts
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-27942: Mickey Jin (@patch1t)
Safari
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlanul könyvjelzőt hoztak létre a Főképernyőn.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-28194: Anton Spivak
Sandbox
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)
Shortcuts
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2023-27963: Jubaer Alnazi Jabin (TRS Group Of Companies), valamint Wenchao Li és Xiaolong Bai (Alibaba Group)
TCC
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-27931: Mickey Jin (@patch1t)
TextKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2023-28188: Xin Huang (@11iaxH)
Bejegyzés hozzáadva 2023. október 31.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy a helyettesítő karaktereket tartalmazó tartományok blokkolására szolgáló tartalombiztonsági szabályzat nem működött megfelelően.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken (imec-DistriNet), KU Leuven
Bejegyzés hozzáadva 2023. október 31.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy „Use-after-free” (felszabadítás utáni használattal kapcsolatos) problémát.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel, a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés hozzáadva: 2023. augusztus 1.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment, Team ApplePIE)
Bejegyzés hozzáadva 2023. augusztus 1., frissítve 2023. december 21.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor. Az Apple tisztában van vele, hogy a problémát aktívan kihasználták az iOS 15.7 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor) és Valentin Pashkov (Kaspersky)
Bejegyzés hozzáadva: 2023. június 21., frissítve: 2023. augusztus 1.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak megkerülhették a Same Origin irányelvet.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
WebKit Bugzilla: 248615
CVE-2023-27932: anonim kutató
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.
Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.
WebKit Bugzilla: 250837
CVE-2023-27954: anonim kutató
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)
Bejegyzés hozzáadva: 2023. május 1., frissítve: 2023. december 21.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 249434
CVE-2014-1745: anonim kutató
Bejegyzés hozzáadva: 2023. december 21.
WebKit PDF
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 249169
CVE-2023-32358: anonim kutató, a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés hozzáadva: 2023. augusztus 1.
WebKit Web Inspector
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Bizonyos esetekben a távoli támadók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me, SSD Labs)
Bejegyzés hozzáadva 2023. május 1-én.
További köszönetnyilvánítás
Activation Lock
Köszönjük Christian Mina segítségét.
CFNetwork
Köszönjük egy anonim kutató segítségét.
Core Location
Szeretnénk megköszönni IL, Diego Carvalho, Hamza Toğmuş, Liang Liu, Alex Tippets, WGM, Dennis, Dalton Gould, Alejandro Tejada Borges, Cosmin Iconaru, Chase Bigsby, Bikesh Bimali, Cal Rookard, Bashar Ajlani és Robert Kott segítségét.
Bejegyzés hozzáadva 2023. május 1-én.
CoreServices
Köszönjük Mickey Jin (@patch1t) segítségét.
file_cmds
Köszönjük Lukas Zronek segítségét.
Heimdal
Köszönjük Evgeny Legerov (Intevydis) segítségét.
ImageIO
Köszönjük Meysam Firouzi @R00tkitSMM segítségét.
lldb
Szeretnénk megköszönni James Duffy (mangoSecure) segítségét.
Bejegyzés hozzáadva 2023. május 1-én.
Köszönjük a következők segítségét: Chen Zhang, Fabian Ising (FH Münster University of Applied Sciences), Damian Poddebniak (FH Münster University of Applied Sciences), Tobias Kappert (Münster University of Applied Sciences), Christoph Saatjohann (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences) és Merlin Chlosta (CISPA Helmholtz Center for Information Security).
Bejegyzés frissítve: 2023. május 1.
Messages
Szeretnénk megköszönni Idriss Riouak, Anıl özdil és Gurusharan Singh segítségét.
Bejegyzés hozzáadva 2023. május 1-én.
Password Manager
Szeretnénk megköszönni az OCA Creations LLC és Sebastian S. Andersen segítségét.
Bejegyzés hozzáadva 2023. május 1-én.
Safari Downloads
Köszönjük Andrew Gonzalez segítségét.
Status Bar
Köszönjük N és jiaxu li segítségét.
Bejegyzés frissítve: 2023. december 21.
Telephony
Köszönjük CheolJun Park (KAIST SysSec Lab) segítségét.
WebKit
Köszönjük egy anonim kutató segítségét.
WebKit Web Inspector
Köszönjük Dohyun Lee (@l33d0hyun) és crixer (@pwning_me, SSD Labs) segítségét.