Over de beveiligingsinhoud van iOS 16.7.2 en iPadOS 16.7.2
In dit document wordt de beveiligingsinhoud van iOS 16.7.2 en iPadOS 16.7.2 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iOS 16.7.2 en iPadOS 16.7.2
Releasedatum: 25 oktober 2023
CoreAnimation
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan een denial-of-service veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40449: Tomi Tokics (@tomitokics) van iTomsn0w
Core Recents
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: het probleem is verholpen door de registratie op te schonen
CVE-2023-42823
Toegevoegd op 16 februari 2024
Find My
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-40413: Adam M.
ImageIO
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40416: JZ
ImageIO
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-42848: JZ
Toegevoegd op 16 februari 2024
IOTextEncryptionFamily
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40423: een anonieme onderzoeker
Kernel
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42849: Linus Henze van Pinauten GmbH (pinauten.de)
libc
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde invoer kan leiden tot het uitvoeren van willekeurige code in door de gebruiker geïnstalleerde apps
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-40446: inooo
Toegevoegd op 3 november 2023
libxpc
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een kwaadaardige app kan rootbevoegdheden verkrijgen
Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.
CVE-2023-42942: Mickey Jin (@patch1t)
Toegevoegd op 16 februari 2024
Mail Drafts
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: 'Verberg mijn e-mailadres' wordt mogelijk onverwacht uitgeschakeld
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een apparaat kan passief worden gevolgd via het wifi-MAC-adres
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2023-42846: Talal Haj Bakry en Tommy Mysk van Mysk Inc. @mysk_co
Pro Res
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu en Guang Gong van 360 Vulnerability Research Institute
Pro Res
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), en happybabywu en Guang Gong van 360 Vulnerability Research Institute
Toegevoegd op 16 februari 2024
Safari
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een bezoek aan een schadelijke website kan browsergeschiedenis openbaar maken
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-41977: Alex Renda
Siri
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller met fysieke toegang kan mogelijk Siri gebruiken om toegang te krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Bijgewerkt op 16 februari 2024
Weather
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-41254: Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Roemenië
WebKit
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het wachtwoord van een gebruiker kan hardop worden voorgelezen door VoiceOver
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) van Cross Republic
WebKit
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) en Vitor Pedreira (@0xvhp_) van Agile Information Security
Bijgewerkt op 16 februari 2024
WebKit
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Toegevoegd op 16 februari 2024
WebKit Process Model
Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Aanvullende erkenning
libxml2
Met dank aan OSS-Fuzz, en Ned Williamson van Google Project Zero voor de hulp.
libarchive
Met dank aan Bahaa Naamneh voor de hulp.
WebKit
Met dank aan een anonieme onderzoeker voor de hulp.
WebKit
Met dank aan Gishan Don Ranasinghe en een anonieme onderzoeker voor de hulp.
Toegevoegd op 16 februari 2024
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.