Informatie over de beveiligingsinhoud van iOS 16.1 en iPadOS 16

In dit document wordt de beveiligingsinhoud van iOS 16.1 en iPadOS 16 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 16.1 en iPadOS 16

Releasedatum: 24 oktober 2022

Apple Neural Engine

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32932: Mohamed Ghannam (@_simo36)

Toegevoegd op 27 oktober 2022

AppleMobileFileIntegrity

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: dit probleem is verholpen door aanvullende rechten te verwijderen.

CVE-2022-42825: Mickey Jin (@patch1t)

Apple TV

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2022-32909: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 21 december 2023

Audio

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: het parseren van een kwaadwillig vervaardigd audiobestand kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42798: anoniem in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 27 oktober 2022

AVEVideoEncoder

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32940: ABC Research s.r.o.

Backup

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan toegang krijgen tot iOS-reservekopieën

Beschrijving: een machtigingsprobleem met aanvullende beperkingen is verholpen.

CVE-2022-32929: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 27 oktober 2022

CFNetwork

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een probleem met de validatie van de certificaatketen bij de verwerking van WKWebView. Dit probleem is verholpen door een verbeterde validatie.

CVE-2022-42813: Jonathan Zhang van Open Computing Facility (ocf.berkeley.edu)

Core Bluetooth

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan mogelijk audio opnemen met gekoppelde AirPods

Beschrijving: een toegangsprobleem is verholpen met aanvullende sandboxbeperkingen voor apps van derden.

CVE-2022-32945: Guilherme Rambo van Best Buddy Apps (rambo.codes)

Toegevoegd op 22 december 2022

Core Bluetooth

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan audio opnemen met een paar verbonden AirPods

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2022-32946: Guilherme Rambo van Best Buddy Apps (rambo.codes)

FaceTime

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een gebruiker kan mogelijk beperkte inhoud bekijken via het toegangsscherm

Beschrijving: een probleem met het toegangsscherm is verholpen door een verbeterd statusbeheer.

CVE-2022-32935: Bistrit Dahal

Toegevoegd op 27 oktober 2022

GPU Drivers

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Graphics Driver

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32939: Willy R. Vasquez van The University of Texas in Austin

Toegevoegd op 27 oktober 2022

IOHIDFamily

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan onverwachte beëindiging van de app of willekeurige code-uitvoering veroorzaken

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-42820: Peter Pan ZhenPeng van STAR Labs

IOKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2022-42806: Tingting Yin van Tsinghua University

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan het onverwacht beëindigen van het systeem veroorzaken of mogelijk code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-46712: Tommy Muir (@Muirey03)

Toegevoegd op 1 mei 2023

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-32944: Tim Michaud (@TimGMichaud) van Moveworks.ai

Toegevoegd op 27 oktober 2022

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2022-42803: Xinru Chi van Pangu Lab, John Aakerblom (@jaakerblom)

Toegevoegd op 27 oktober 2022

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32926: Tim Michaud (@TimGMichaud) van Moveworks.ai

Toegevoegd op 27 oktober 2022

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-42801: Ian Beer van Google Project Zero

Toegevoegd op 27 oktober 2022

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32924: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-42808: Zweig van Kunlun Lab

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-42827: een anonieme onderzoeker

Model I/O

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd USD-bestand kan geheugeninhoud vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) en Yinyi Wu van Ant Security Light-Year Lab

Toegevoegd op 27 oktober 2022

NetworkExtension

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-46715: IES Red Team van ByteDance

Toegevoegd op 1 mei 2023

ppp

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42828: een anonieme onderzoeker

Toegevoegd op 31 oktober 2023

ppp

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een bufferoverloop kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32941: een anonieme onderzoeker

Toegevoegd op 27 oktober 2022

ppp

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-42829: een anonieme onderzoeker

ppp

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42830: een anonieme onderzoeker

ppp

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2022-42831: een anonieme onderzoeker

CVE-2022-42832: een anonieme onderzoeker

Safari

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-42817: Mir Masood Ali, PhD-student, University of Illinois in Chicago; Binoy Chitale, MS-student, Stony Brook University; Mohammad Ghasemisharif, PhD-kandidaat, University of Illinois in Chicago; Chris Kanich, Associate Professor, University of Illinois in Chicago; Nick Nikiforakis, Associate Professor, Stony Brook University; Jason Polakis, Associate Professor, University of Illinois in Chicago

Toegevoegd op 27 oktober 2022, bijgewerkt op 31 oktober 2023

Sandbox

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2022-42811: Justin Bui (@slyd0g) van Snowflake

Shortcuts

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een snelkoppeling kan mogelijk de aanwezigheid van een arbitrair pad op het bestandssysteem

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2022-32938: Cristian Dinca van Tudor Vianu National High School of Computer Science. Romania

Weather

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen

Beschrijving: dit probleem is verholpen door middel van verbeterde gegevensbescherming.

CVE-2022-42792: een anonieme onderzoeker

Toegevoegd op 1 mei 2023

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

WebKit Bugzilla: 246669

CVE-2022-42826: Francisco Alonso (@revskills)

Toegevoegd op 22 december 2022

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een bezoek aan een schadelijke website kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun) van SSD Labs

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi van Microsoft Browser Vulnerability Research, Ryan Shin van IAAI SecLab aan Korea University, Dohyun Lee (@l33d0hyun) van DNSLab aan Korea University

WebKit PDF

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

WebKit Bugzilla: 242781

CVE-2022-32922: Yonghwi Jin (@jinmo123) van Theori in samenwerking met Trend Micro Zero Day Initiative

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan interne statussen van de app vrijgeven

Beschrijving: een correctheidsprobleem in JIT is verholpen door verbeterde controles.

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) van KAIST Hacking Lab

Toegevoegd op 27 oktober 2022

Wi-Fi

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: verbinding maken met een schadelijk wifinetwerk kan leiden tot denial-of-service in de Instellingen-app

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32927: dr. Hideaki Goto van Tohoku University, Japan

Toegevoegd op 27 oktober 2022

zlib

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air 3e generatie en nieuwer, iPad 5e generatie en nieuwer, iPad mini 5e generatie en nieuwer

Impact: een gebruiker kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Toegevoegd op 27 oktober 2022

Aanvullende erkenning

iCloud

Met dank aan Tim Michaud (@TimGMichaud) van Moveworks.ai voor de hulp.

IOGPUFamily

Met dank aan Wang Yu van cyberserval voor de hulp.

Toegevoegd op 31 oktober 2023

Image Processing

Met dank aan Tingting Yin van Tsinghua University voor de hulp.

Toegevoegd op 1 mei 2023

Kernel

Met dank aan Peter Nguyen van STAR Labs, Tim Michaud (@TimGMichaud) van Moveworks.ai en Tommy Muir (@Muirey03) voor de hulp.

WebKit

Met dank aan Maddie Stone van Google Project Zero, Narendra Bhati (@imnarendrabhati) van Suma Soft Pvt. Ltd. en een anonieme onderzoeker voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: