Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 16.7.2 és iPadOS 16.7.2
Kiadási dátum: 2023. október 25.
CoreAnimation
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40449: Tomi Tokics (@tomitokics, iTomsn0w)
Core Recents
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A problémát a naplózás megtisztításával orvosoltuk.
CVE-2023-42823
Bejegyzés hozzáadva 2024. január 16-án.
Find My
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-40413: Adam M.
ImageIO
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40416: JZ
ImageIO
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor sérült a halommemória.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-42848: JZ
Bejegyzés hozzáadva 2024. január 16-án.
IOTextEncryptionFamily
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40423: anonim kutató
Kernel
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-42849: Linus Henze (Pinauten GmbH, pinauten.de)
libc
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Hatás: Az ártó szándékkal módosított bemenet feldolgozása tetszőleges kódfuttatáshoz vezethet a felhasználó által telepített alkalmazásokban.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-40446: inooo
Bejegyzés hozzáadva: 2023. november 3.
libxpc
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A rosszindulatú appok gyökérszintű jogosultságokat tudtak szerezni.
Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-42942: Mickey Jin (@patch1t)
Bejegyzés hozzáadva 2024. január 16-án.
Mail Drafts
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az E-mail-cím elrejtése funkció váratlanul kikapcsolódhat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2023-42846: Talal Haj Bakry és Tommy Mysk (Mysk Inc. @mysk_co)
Pro Res
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu és Guang Gong (360 Vulnerability Research Institute)
Pro Res
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu és Guang Gong (360 Vulnerability Research Institute)
Bejegyzés hozzáadva 2024. január 16-án.
Safari
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor felfedhetők voltak a böngészési előzmények.
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2023-41977: Alex Renda
Siri
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz
Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Bejegyzés frissítve: 2024. február 16.
Weather
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-41254: Cristian Dinca (Tudor Vianu Országos Beiskolázású Informatikai Középiskola, Románia)
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Hatás: A felhasználó jelszavát a VoiceOver hangosan felolvashatja
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee, Cross Republic)
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) és Vitor Pedreira (@0xvhp_, Agile Information Security)
Bejegyzés frissítve: 2024. február 16.
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Bejegyzés hozzáadva 2024. január 16-án.
WebKit Process Model
A következőkhöz érhető el: iPhone 8 és újabb, iPad Pro (az összes modell), iPad Air (3. generációs és újabb), iPad (5. generációs és újabb), iPad mini (5. generációs és újabb).
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
További köszönetnyilvánítás
libxml2
Köszönjük OSS-Fuzz, Ned Williamson (Google Project Zero) segítségét.
libarchive
Köszönjük Bahaa Naamneh segítségét.
WebKit
Köszönjük egy anonim kutató segítségét.
WebKit
Köszönjük Gishan Don Ranasinghe és egy anonim kutató segítségét.
Bejegyzés hozzáadva 2024. január 16-án.