Mengenai konten keamanan iOS 16.4 dan iPadOS 16.4

Dokumen ini menjelaskan konten keamanan iOS 16.4 dan iPadOS 16.4.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halamanpembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurutCVE-IDjika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halamanKeamanan Produk Apple.

iOS 16.4 dan iPadOS 16.4

Accessibility

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses informasi mengenai kontak pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2023-23541: Csaba Fitzl (@theevilbit) dari Offensive Security

App Store

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-42830: Adam M.

Apple Neural Engine

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

CVE-2023-27959: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-27970: Mohamed GHANNAM

Apple Neural Engine

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

AppleMobileFileIntegrity

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pengguna mungkin dapat mengakses bagian yang dilindungi dari sistem file

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2023-27931: Mickey Jin (@patch1t)

Calendar

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Mengimpor undangan kalender berbahaya dapat mengeksfiltrasi informasi pengguna

Deskripsi: Beberapa masalah validasi telah diatasi melalui pembersihan input yang ditingkatkan.

CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)

Camera

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App sandbox mungkin dapat mengidentifikasi app yang saat ini menggunakan kamera

Deskripsi: Masalah telah diatasi dengan pembatasan tambahan pada kemampuan mengamati status app.

CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)

CarPlay

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pengguna di posisi jaringan yang memiliki hak istimewa mungkin dapat menyebabkan penolakan layanan

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-23494: Itay Iellin dari General Motors Product Cyber Security

ColorSync

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat membaca file arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-27955: JeongOhKyea

Core Bluetooth

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Memproses paket Bluetooth perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-23528: Jianjun Dai dan Guang Gong dari 360 Vulnerability Research Institute

CoreCapture

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-28181: Tingting Yin dari Tsinghua University

CoreServices

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-40398: Mickey Jin (@patch1t)

Find My

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.

CVE-2023-28195: Adam M.

CVE-2023-23537: Adam M.

FontParser

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Memproses file fon dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.

CVE-2023-32366: Ye Zhang (@VAR10CK) dari Baidu Security

FontParser

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-27956: Ye Zhang (@VAR10CK) dari Baidu Security

Foundation

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Menguraikan plist perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.

CVE-2023-27937: peneliti anonim

iCloud

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: File dari folder dibagikan oleh saya di iCloud mungkin dapat melewati Gatekeeper

Deskripsi: Hal ini diatasi dengan pemeriksaan tambahan oleh Gatekeeper pada file yang diunduh dari folder dibagikan oleh saya di iCloud.

CVE-2023-23526: Jubaer Alnazi dari TRS Group of Companies

Identity Services

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses informasi mengenai kontak pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2023-27928: Csaba Fitzl (@theevilbit) dari Offensive Security

ImageIO

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-23535: ryuzaki

ImageIO

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2023-27929: Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab dan jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Memproses gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab

CVE-2023-42865: jzhu yang bekerja sama dengan Zero Day Initiative dari Trend Micro dan Meysam Firouzi (@R00tkitSMM) dari Mbition Mercedes-Benz Innovation Lab

Kernel

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pengguna mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd.

Kernel

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat menyebabkan penolakan layanan

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2023-28185: Pan ZhenPeng dari STAR Labs SG Pte. Ltd.

Kernel

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-32424: Zechao Cai (@Zech4o) dari Zhejiang University

Kernel

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-27969: Adam Doupé dari ASU SEFCOM

Kernel

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App dengan hak istimewa root mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2023-27933: sqrtpwn

Kernel

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2023-23536: Félix Poulin-Bélanger dan David Pan Ogea

LaunchServices

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Bendera karantina untuk file yang diunduh dari internet mungkin tidak diterapkan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-27943: peneliti anonim, Brandon Dalton (@partyD0lphin) dari Red Canary, Milan Tenk, dan Arthur Valiev dari F-Secure Corporation

LaunchServices

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat memperoleh hak istimewa root

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-23525: Mickey Jin (@patch1t)

libpthread

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-41075: Zweig dari Kunlun Lab

Magnifier

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Seseorang yang memiliki akses fisik ke perangkat iOS mungkin dapat melihat gambar terakhir yang digunakan di Pembesar dari layar terkunci

Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.

CVE-2022-46724: Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College Of Technology Bhopal

NetworkExtension

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pengguna dengan posisi jaringan yang memiliki hak istimewa mungkin dapat melakukan spoofing pada server VPN yang dikonfigurasi dengan autentikasi khusus EAP di suatu perangkat

Deskripsi: Masalah telah diatasi dengan autentikasi yang ditingkatkan.

CVE-2023-28182: Zhuowei Zhang

Photos

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Foto di dalam Album Foto Tersembunyi dapat dilihat tanpa autentikasi melalui Cari Tahu Visual

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2023-23523: developStorm

Podcasts

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-27942: Mickey Jin (@patch1t)

Safari

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat membuat penanda secara tidak terduga di Layar Utama

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-28194: Anton Spivak

Sandbox

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat melewatkan preferensi Privasi

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2023-28178: Yiğit Can YILMAZ (@yilmazcanyigit)

Shortcuts

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.

CVE-2023-27963: Jubaer Alnazi Jabin dari TRS Group Of Companies, dan Wenchao Li dan Xiaolong Bai dari Alibaba Group

TCC

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pengguna dari jarak jauh dapat menyebabkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi input yang ditingkatkan.

CVE-2023-28188: Xin Huang (@11iaxH)

WebKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Kebijakan Keamanan Konten untuk memblokir domain dengan wildcard mungkin gagal

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2023-32370: Gertjan Franken dari imec-DistriNet, KU Leuven

WebKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2023-28198: hazbinhotel yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Mengunjungi situs web berbahaya dapat menyebabkan pemalsuan bar alamat

Deskripsi: Masalah pemalsuan terjadi saat menangani URL. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2022-46725: Hyeon Park (@tree_segment) dari Team ApplePIE

WebKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah aktif dieksploitasi pada versi iOS yang dirilis sebelum iOS 15.7.

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), Boris Larin (@oct0xor), dan Valentin Pashkov dari Kaspersky

WebKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat melewati Kebijakan Same Policy

Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-27932: peneliti anonim

WebKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Suatu situs web mungkin dapat melacak informasi pengguna yang sensitif

Deskripsi: Masalah ini telah diatasi dengan menghapus informasi sumber.

CVE-2023-27954: peneliti anonim

WebKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Mengunjungi situs web berbahaya dapat menyebabkan pemalsuan bar alamat

Deskripsi: Masalah pemalsuan terjadi saat menangani URL. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2022-46705: Hyeon Park (@tree_segment) dari Team ApplePIE

WebKit

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Memproses file dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2014-1745: peneliti anonim

WebKit PDF

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2023-32358: Anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit Web Inspector

Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) dari SSD Labs

Ucapan terima kasih tambahan

Activation Lock

Kami ingin mengucapkan terima kasih kepada Christian Mina atas bantuannya.

CFNetwork

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Core Location

Kami ingin mengucapkan terima kasih kepada IL, Diego Carvalho, Hamza Toğmuş, Liang Liu, Alex Tippets, WGM, Dennis, Dalton Gould, Alejandro Tejada Borges, Cosmin Iconaru, Chase Bigsby, Bikesh Bimali, Cal Rookard, Bashar Ajlani, dan Robert Kott atas bantuannya.

CoreServices

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

file_cmds

Kami ingin mengucapkan terima kasih kepada Lukas Zronek atas bantuannya.

Heimdal

Kami ingin mengucapkan terima kasih kepada Evgeny Legerov dari Intevydis atas bantuannya.

ImageIO

Kami ingin mengucapkan terima kasih kepada Meysam Firouzi @R00tkitSMM atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Tim Michaud (@TimGMichaud) dari Moveworks.ai atas bantuannya.

lldb

Kami ingin mengucapkan terima kasih kepada James Duffy (mangoSecure) atas bantuannya.

Mail

Kami ingin mengucapkan terima kasih kepada Chen Zhang, Fabian Ising dari FH Münster University of Applied Sciences, Damian Poddebniak dari FH Münster University of Applied Sciences, Tobias Kappert dari Münster University of Applied Sciences, Christoph Saatjohann dari Münster University of Applied Sciences, Sebastian Schinzel dari Münster University of Applied Sciences, dan Merlin Chlosta dari CISPA Helmholtz Center for Information Security atas bantuannya.

Messages

Kami ingin mengucapkan terima kasih kepada Idriss Riouak, Anıl özdil, dan Gurusharan Singh atas bantuannya.

Password Manager

Kami ingin mengucapkan terima kasih kepada OCA Creations LLC dan Sebastian S. Andersen atas bantuannya.

Safari Downloads

Kami ingin mengucapkan terima kasih kepada Andrew Gonzalez atas bantuannya.

Status Bar

Kami ingin mengucapkan terima kasih kepada N dan jiaxu li atas bantuannya.

Telephony

Kami ingin mengucapkan terima kasih kepada CheolJun Park dari KAIST SysSec Lab atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

WebKit Web Inspector

Kami ingin mengucapkan terima kasih kepada Dohyun Lee (@l33d0hyun) dan crixer (@pwning_me) dari SSD Labs atas bantuannya.