Over de beveiligingsinhoud van iOS 15.4 en iPadOS 15.4
In dit document wordt de beveiligingsinhoud van iOS 15.4 en iPadOS 15.4 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iOS 15.4 en iPadOS 15.4
Accelerate Framework
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2022-22633: ryuzaki
AppleAVD
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
AVEVideoEncoder
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2022-22634: een anonieme onderzoeker
AVEVideoEncoder
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22635: een anonieme onderzoeker
AVEVideoEncoder
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22636: een anonieme onderzoeker
Cellular
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: iemand met fysieke toegang kan de accountgegevens en -instellingen van de aanbieder vanuit het toegangsscherm bekijken en wijzigen
Beschrijving: het GSMA-authenticatiepaneel kan worden weergegeven op het toegangsscherm. Het probleem is opgelost door interactie tussen de apparaatontgrendeling en het GSMA-authenticatiepaneel verplicht te stellen.
CVE-2022-22652: Kağan Eğlence (linkedin.com/in/kaganeglence), Oğuz Kırat (@oguzkirat)
CoreMedia
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een app kan, voordat deze toegang tot de camera krijgt, mogelijk informatie krijgen over het actuele camerabeeld
Beschrijving: een probleem met de toegang van apps tot de metagegevens van de camera is opgelost door verbeterde logica.
CVE-2022-22598: Will Blaschko van Team Quasko
CoreTypes
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen
Beschrijving: dit probleem is verholpen door middel van verbeterde controles om ongeautoriseerde acties te voorkomen.
CVE-2022-22663: Arsenii Kostromin (0x3c3e)
FaceTime
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een gebruiker kan mogelijk de toegangscode-prompt voor SOS-noodmeldingen omzeilen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-22642: Yicong Ding (@AntonioDing)
FaceTime
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een gebruiker kan zonder zich daarvan bewust te zijn, audio en video versturen tijdens een FaceTime-gesprek
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-22643: Sonali Luthar van de University of Virginia, Michael Liao van de University of Illinois at Urbana-Champaign, Rohan Pahwa van Rutgers University en Bao Nguyen van de University of Florida
GPU Drivers
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22667: Justin Sherman van de University of Maryland, Baltimore County
ImageIO
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2022-22611: Xingyu Jin van Google
ImageIO
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot heapbeschadiging
Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22612: Xingyu Jin van Google
IOGPUFamily
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22641: Mohamed Ghannam (@_simo36)
iTunes
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardige website kan informatie over de gebruiker en zijn/haar apparaten inzien
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2022-22653: Aymeric Chaib van CERT Banque de France
Kernel
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2022-22596: een anonieme onderzoeker
CVE-2022-22640: sqrtpwn
Kernel
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2022-22613: Alex, een anonieme onderzoeker
Kernel
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22614: een anonieme onderzoeker
CVE-2022-22615: een anonieme onderzoeker
Kernel
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-22632: Keegan Saunders
Kernel
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een aanvaller in een geprivilegieerde positie kan een denial of service-aanval uitvoeren
Beschrijving: een null pointer dereference-probleem is verholpen door verbeterde validatie.
CVE-2022-22638: derrek (@derrekr6)
LaunchServices
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een app kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2021-30946: @gorelics en Ron Masas van BreakPoint.sh
libarchive
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: er zijn meerdere problemen in libarchive
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libarchive. Deze problemen zijn verholpen door verbeterde invoervalidatie.
CVE-2021-36976
LLVM
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan bestanden verwijderen waarvoor het geen bevoegdheid heeft
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2022-21658: Florian Weimer (@fweimer)
Markup
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: iemand met fysieke toegang tot een iOS-apparaat zou via toetsenbordsuggesties gevoelige informatie kunnen zien
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-22622: Ingyu Lim (@_kanarena)
MediaRemote
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardige app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd
Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.
CVE-2022-22670: Brandon Azad
MobileAccessoryUpdater
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22672: Siddharth Aeri (@b1n4r1b01)
NetworkExtension
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-22659: George Chen Kaidi of PayPal
Phone
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een gebruiker kan mogelijk de toegangscode-prompt voor SOS-noodmeldingen omzeilen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-22618: Yicong Ding (@AntonioDing)
Preferences
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan mogelijk de instellingen van andere programma's lezen
Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.
CVE-2022-22609: Mickey Jin (@patch1t), en Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een app kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: een toegangsprobleem is verholpen door verbeteringen aan de sandbox.
CVE-2022-22655: Csaba Fitzl (@theevilbit) van Offensive Security
Sandbox
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) van Primefort Private Limited, Khiem Tran
Siri
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: iemand met fysieke toegang tot een apparaat zou Siri kunnen gebruiken om locatiegegevens van het toegangsscherm te achterhalen
Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.
CVE-2022-22599: Andrew Goldberg van de University of Texas in Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
SoftwareUpdate
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-22639: Mickey (@patch1t)
UIKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: iemand met fysieke toegang tot een iOS-apparaat zou via toetsenbordsuggesties gevoelige informatie kunnen zien
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2022-22621: Joey Hewitt
VoiceOver
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een persoon met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot foto's vanaf het toegangsscherm
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2022-22671: videosdebarraquito
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een probleem met het beheer van cookies is verholpen door verbeterd statusbeheer.
CVE-2022-22662: Prakash (@1lastBr3ath) van Threat Nix
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2022-22610: Quan Yin van Bigo Technology Live Client Team
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2022-22624: Kirin (@Pwnrin) van Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) van Tencent Security Xuanwu Lab
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2022-22629: Jeonghoon Shin van Theori in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardige website kan onverwacht cross-origin-gedrag veroorzaken
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2022-22637: Tom McKee van Google
Wi-Fi
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2022-22668: MrPhil17
Wi-Fi
Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)
Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2022-22668: MrPhil17
Aanvullende erkenning
AirDrop
Met dank aan Omar Espino (omespino.com) en Ron Masas van BreakPoint.sh voor de hulp.
Bluetooth
Met dank aan een anonieme onderzoeker voor de hulp.
Music
Met dank aan Vishesh Balani van Urban Company voor de hulp.
Notes
Met dank aan Abhishek Bansal van Wipro Technologies voor de hulp.
Safari
Met dank aan Konstantin Darutkin van FingerprintJS (fingerprintjs.com) voor de hulp.
Shortcuts
Met dank aan Baibhav Anand Jha van Streamers Land voor de hulp.
Siri
Met dank aan een anonieme onderzoeker voor de hulp.
syslog
Met dank aan Yonghwi Jin (@jinmo123) van Theori voor de hulp.
UIKit
Met dank aan Tim Shadel van Day Logger, Inc. voor de hulp.
Wallet
Met dank aan een anonieme onderzoeker voor de hulp.
WebKit
Met dank aan Abdullah Md Shaleh voor de hulp.
WebKit Storage
Met dank aan Martin Bajanik van FingerprintJS voor de hulp.
WidgetKit
Met dank aan een anonieme onderzoeker voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.