Over de beveiligingsinhoud van iOS 15.7.4 en iPadOS 15.7.4
In dit document wordt de beveiligingsinhoud van iOS 15.7.4 en iPadOS 15.7.4 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iOS 15.7.4 en iPadOS 15.7.4
Releasedatum: 27 maart 2023
Accessibility
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan toegang krijgen tot informatie over de contactpersonen van een gebruiker
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-23541: Csaba Fitzl (@theevilbit) of Offensive Security
Agenda
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het importeren van een kwaadwillig vervaardigde agenda-uitnodiging kan gebruikersinformatie exfiltreren
Beschrijving: verscheidene validatieproblemen zijn verholpen door een verbeterde invoeropschoning.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app in de sandbox kan achterhalen welke app momenteel de camera gebruikt
Beschrijving: het probleem is verholpen door aanvullende beperkingen voor de waarneembaarheid van appstatussen.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2023-27936: Tingting Yin van Tsinghua University
Find My
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-23537: Adam M.
Toegevoegd op 21 december 2023
FontParser
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-27956: Ye Zhang van Baidu Security
FontParser
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van een lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2023-32366: Ye Zhang (@VAR10CK) van Baidu Security
Toegevoegd op 21 december 2023
Identity Services
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan toegang krijgen tot informatie over de contactpersonen van een gebruiker
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-27928: Csaba Fitzl (@theevilbit) van Offensive Security
ImageIO
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-23535: ryuzaki
Kernel
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Toegevoegd op 1 mei 2023
Kernel
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2023-27969: Adam Doupé van ASU SEFCOM
Kernel
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-23536: Félix Poulin-Bélanger en David Pan Ogea
Toegevoegd op 1 mei 2023, bijgewerkt op 21 december 2023
Kernel
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan een denial-of-service veroorzaken
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2023-28185: Pan ZhenPeng van STAR Labs SG Pte. Ltd.
Toegevoegd op 21 december 2023
libpthread
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.
CVE-2023-41075: Zweig van Kunlun Lab
Toegevoegd op 21 december 2023
Model I/O
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-27949: Mickey Jin (@patch1t)
Model I/O
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-27950: Mickey Jin (@patch1t)
Toegevoegd op 21 december 2023
NetworkExtension
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een gebruiker in een geprivilegieerde netwerkpositie kan op een apparaat een VPN-server vervalsen die is geconfigureerd met verplichte EAP-authenticatie
Beschrijving: het probleem is verholpen door verbeterde authenticatie.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een opdracht kan bij bepaalde acties gebruikmaken van gevoelige gegevens zonder dat de gebruiker om toestemming wordt gevraagd
Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.
CVE-2023-27963: Jubaer Alnazi Jabin van TRS Group Of Companies en Wenchao Li en Xiaolong Bai van Alibaba Group
WebKit
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een website kan vertrouwelijke gebruikersinformatie volgen
Beschrijving: het probleem is verholpen door informatie over de oorsprong te verwijderen.
WebKit Bugzilla: 250837
CVE-2023-27954: een anonieme onderzoeker
WebKit
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 251944
CVE-2023-23529: een anonieme onderzoeker
WebKit
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel in samenwerking met Trend Micro Zero Day Initiative
Toegevoegd op 21 december 2023
WebKit PDF
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 249169
CVE-2023-32358: een anonieme onderzoeker in samenwerking met Trend Micro Zero Day Initiative
Toegevoegd op 21 december 2023
WebKit Web Inspector
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) van SSD Labs
Toegevoegd op 1 mei 2023
Aanvullende erkenning
Met dank aan Fabian Ising van FH Münster University of Applied Sciences, Damian Poddebniak van FH Münster University of Applied Sciences, Tobias Kappert van Münster University of Applied Sciences, Christoph Saatjohann van Münster University of Applied Sciences en Sebastian Schinzel van Münster University of Applied Sciences voor de hulp.
Bijgewerkt op 1 mei 2023
WebKit Web Inspector
Met dank aan Dohyun Lee (@l33d0hyun) en crixer (@pwning_me) van SSD Labs voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.