Over de beveiligingsinhoud van iOS 16.5 en iPadOS 16.5

In dit document wordt de beveiligingsinhoud van iOS 16.5 en iPadOS 16.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 16.5 en iPadOS 16.5

Accessibility

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-32388: Kirin (@Pwnrin)

Accessibility

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: rechten en privacytoestemmingen die worden gegeven aan deze app, worden mogelijk gebruikt door een schadelijke app

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2023-32400: Mickey Jin (@patch1t)

Accounts

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een aanvaller kan mogelijk e-mails van gebruikersaccounts laten uitlekken

Beschrijving: een probleem met machtigingen is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke gegevens.

CVE-2023-34352: Sergii Kryvoblotskyi van MacPaw Inc.

Apple Neural Engine

Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-32425: Mohamed GHANNAM (@_simo36)

AppleMobileFileIntegrity

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2023-32411: Mickey Jin (@patch1t)

Associated Domains

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan buiten zijn sandbox komen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-32371: James Duffy (mangoSecure)

Cellular

Beschikbaar voor: iPhone 8 en iPhone X

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-32419: Amat Cama van Vigilant Labs

Core Location

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-32399: Adam M.

CoreServices

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.

CVE-2023-28191: Mickey Jin (@patch1t)

GeoServices

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-32392: Adam M.

ImageIO

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32372: Meysam Firouzi @R00tkitSMM van Mbition Mercedes-Benz Innovation Lab in samenwerking met Trend Micro Zero Day Initiative

ImageIO

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) in samenwerking met Trend Micro Zero Day Initiative

IOSurfaceAccelerator

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32354: Linus Henze van Pinauten GmbH (pinauten.de)

IOSurfaceAccelerator

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32420: CertiK SkyFall Team en Linus Henze van Pinauten GmbH (pinauten.de)

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.

CVE-2023-27930: 08Tc3wBB van Jamf

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32398: Adam Doupé van ASU SEFCOM

Kernel

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) van Synacktiv (@Synacktiv) in samenwerking met Trend Micro Zero Day Initiative

LaunchServices

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan Gatekeeper-controles omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-32352: Wojciech Reguła (@_r3ggi) van SecuRing (wojciechregula.blog)

libxml2

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: meerdere problemen in libxml2

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.

CVE-2023-29469: OSS-Fuzz en Ned Williamson van Google Project Zero

CVE-2023-42869: OSS-Fuzz en Ned Williamson van Google Project Zero

MallocStackLogging

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: dit probleem is verholpen door verbeterd bestandsbeheer.

CVE-2023-32428: Gergely Kalman (@gergely_kalman)

Metal

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

Model I/O

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: het verwerken van een 3D-model kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32368: Mickey Jin (@patch1t)

NetworkExtension

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: dit probleem is aangepakt door gevoelige informatie beter te redigeren.

CVE-2023-32403: Adam M.

NSURLSession

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan buiten zijn sandbox komen

Beschrijving: het probleem is verholpen door verbeteringen aan het bestandsbeheerprotocol.

CVE-2023-32437: Thijs Alkemade van Computest Sector 7

PDFKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: het openen van een pdf-bestand kan leiden tot het onverwacht beëindigen van een app

Beschrijving: een denial of service-probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-32385: Jonathan Fritz

Photos

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: met 'Herstel door schudden' kan een verwijderde foto zonder authenticatie weer beschikbaar worden gemaakt

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-32365: Jiwon Park

Photos

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: foto's die deel uitmaken van het album met verborgen foto's konden zonder authenticatie worden bekeken via Visueel opzoeken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-32390: Julian Szulc

Sandbox

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan toegang tot systeemconfiguratiebestanden behouden, zelfs nadat de toestemming is ingetrokken

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa van FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com), en Csaba Fitzl (@theevilbit) van Offensive Security

Security

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2023-32367: James Duffy (mangoSecure)

Share Sheet

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2023-32432: Kirin (@Pwnrin)

Shortcuts

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een opdracht kan bij bepaalde acties gebruikmaken van gevoelige gegevens zonder dat de gebruiker om toestemming wordt gevraagd

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-32391: Wenchao Li en Xiaolong Bai van Alibaba Group

Shortcuts

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com) en een anonieme onderzoeker

Siri

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: iemand met fysieke toegang tot een apparaat zou contactgegevens kunnen bekijken via het toegangsscherm

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-32394: Khiem Tran

SQLite

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door aanvullende beperkingen voor SQLite-logboekregistratie toe te voegen.

CVE-2023-32422: Gergely Kalman (@gergely_kalman) en Wojciech Reguła van SecuRing (wojciechregula.blog)

StorageKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: dit probleem is verholpen door middel van verbeterde rechten.

CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)

System Settings

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een instelling van een app-firewall wordt mogelijk niet van kracht na het afsluiten van de Instellingen-app

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2023-28202: Satish Panduranga en een anonieme onderzoeker

Telephony

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32412: Ivan Fratric van Google Project Zero

TV App

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-32408: een anonieme onderzoeker

Weather

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: dit probleem is aangepakt door gevoelige informatie beter te redigeren.

CVE-2023-32415: Wojciech Regula van SecuRing (wojciechregula.blog) en Adam M.

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: de verwerking van webmateriaal kan mogelijk gevoelige gegevens onthullen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-32402: Ignacio Sanmillan (@ulexec)

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie

Beschrijving: een probleem met bufferoverloop is verholpen door verbeterde verwerking van het geheugen.

CVE-2023-32423: Ignacio Sanmillan (@ulexec)

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een externe aanvaller kan mogelijk de Webinhoud-sandbox doorbreken. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-32409: Clément Lecigne van de Threat Analysis Group van Google en Donncha Ó Cearbhaill van het Security Lab van Amnesty International

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: het verwerken van webmateriaal kan gevoelige informatie vrijgeven. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-28204: een anonieme onderzoeker

WebKit

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-32373: een anonieme onderzoeker

Wi-Fi

Beschikbaar voor: iPhone 8 en nieuwer, iPad Pro (alle modellen), iPad Air (3e generatie) en nieuwer, iPad (5e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.

CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.

Aanvullende erkenning

Accounts

Met dank aan Sergii Kryvoblotskyi van MacPaw Inc. voor de hulp.

CloudKit

Met dank aan Iconic voor de hulp.

CFNetwork

Met dank aan Gabriel Geraldino de Souza voor de hulp.

Find My

Met dank aan Abhinav Thakur, Artem Starovoitov, Hodol K en een anonieme onderzoeker voor de hulp.

libxml2

Met dank aan OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.

Reminders

Met dank aan Kirin (@Pwnrin) voor de hulp.

Security

Met dank aan Brandon Toms voor de hulp.

Share Sheet

Met dank aan Kirin (@Pwnrin) voor de hulp.

Transporter

Met dank aan James Duffy (mangoSecure) voor de hulp.

Wallet

Met dank aan James Duffy (mangoSecure) voor de hulp.

WebRTC

Met dank aan Dohyun Lee (@l33d0hyun) van PK Security en een anonieme onderzoeker voor de hulp.

Wi-Fi

Met dank aan Adam M. voor de hulp.

Wi-Fi Connectivity

Met dank aan Adam M. voor de hulp.