Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 17.2 és iPadOS 17.2
Kiadás dátuma: 2023. december 11.
Accessibility
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-42937: Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab)
Bejegyzés hozzáadva: 2024. január 22.
Accounts
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.
CVE-2023-42896: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2024. március 22.
AVEVideoEncoder
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2023-42884: anonim kutató
Bluetooth
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: A magas hálózati jogosultságú támadók billentyűleütéseket illeszthettek be egy billentyűzet meghamisításával.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-45866: Marc Newlin (SkySafe)
Bejegyzés hozzáadva: 2023. december 11.
Bluetooth
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni létrehozott Bluetooth-csomagok segítségével.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-42941: Christopher Reynolds
Bejegyzés hozzáadva: 2024. január 10.
CallKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát
CVE-2023-42962: Aymane Chabat
Bejegyzés hozzáadva: 2024. március 22.
Find My
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2023-42922: Wojciech Regula (SecuRing; wojciechregula.blog)
ImageIO
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-42898: Zhenjiang Zhao (Pangu Team, Qianxin) és Junsung Lee
CVE-2023-42899: Meysam Firouzi (@R00tkitSMM) és Junsung Lee
Bejegyzés frissítve: 2024. március 22.
ImageIO
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-42888: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative
Bejegyzés hozzáadva: 2024. január 22.
IOUSBDeviceFamily
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Bejegyzés frissítve: 2024. március 22.
Kernel
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv @Synacktiv)
Libsystem
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.
Leírás: Elhárítottunk egy engedélyekkel kapcsolatos hibát a sebezhető kód eltávolításával és további ellenőrzések hozzáadásával.
CVE-2023-42893
Bejegyzés hozzáadva: 2024. március 22.
Safari Private Browsing
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: A privát böngészés lapjai hitelesítés nélkül is elérhetők.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2023-42923: ARJUN S D
Sandbox
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2023-42936
Bejegyzés hozzáadva: 2024. március 22.
Siri
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2023-42897: Andrew Goldberg (The McCombs School of Business), The University (Texas at Austin, linkedin.com/andrew-goldberg-/)
TCC
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2023-42947: Zhongquan Li (@Guluisacat, Dawn Security Lab, JingDong)
Bejegyzés hozzáadva: 2024. március 22.
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute) és rushikesh nandedkar
Bejegyzés hozzáadva: 2024. március 22.
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Bejegyzés hozzáadva: 2024. március 22.
További köszönetnyilvánítás
Safari Private Browsing
Köszönjük Joshua Lund (Signal Technology Foundation) és Iakovos Gurulian segítségét.
Bejegyzés frissítve: 2024. március 22.
Setup Assistant
Köszönjük Aaron Gregory (Acoustic.com és Eastern Illinois University – Graduate School of Technology) segítségét.
WebKit
Köszönjük 椰椰 segítségét.
WebSheet
Köszönjük Paolo Ruggero (e-phors S.p.A., A FINCANTIERI S.p.A. Company) segítségét.
Bejegyzés hozzáadva: 2024. március 22.
Wi-Fi
Köszönjük Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab) segítségét.