Over de beveiligingsinhoud van iOS 15.6 en iPadOS 15.6

In dit document wordt de beveiligingsinhoud van iOS 15.6 en iPadOS 15.6 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 15.6 en iPadOS 15.6

Releasedatum: 20 juli 2022

APFS

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2022-32788: Natalie Silvanovich van Google Project Zero

AppleAVD

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32824: Antonio Zekic (@antoniozekic) en John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-32826: Mickey Jin (@patch1t) van Trend Micro

Apple Neural Engine

Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2022-42805: Mohamed Ghannam (@_simo36)

Toegevoegd op 9 november 2022

Apple Neural Engine

Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2022-32948: Mohamed Ghannam (@_simo36)

Toegevoegd op 9 november 2022

Apple Neural Engine

Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Bijgewerkt op 9 november 2022

Apple Neural Engine

Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

CVE-2022-32829: Tingting Yin van Tsinghua University en Min Zheng van Ant Group

Bijgewerkt op 16 september 2022

Apple Neural Engine

Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Audio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-32820: een anonieme onderzoeker

Audio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreMedia

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32828: Antonio Zekic (@antoniozekic) en John Aakerblom (@jaakerblom)

CoreText

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een externe gebruiker kan het onverwacht beëindigen van de app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan toegang krijgen tot rootbevoegdheden

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2022-32819: Joshua Mason van Mandiant

GPU Drivers

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: meerdere problemen met het schrijven buiten het bereik zijn verholpen door een verbeterde bereikcontrole.

CVE-2022-32793: een anonieme onderzoeker

GPU Drivers

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2022-32821: John Aakerblom (@jaakerblom)

Home

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een gebruiker kan mogelijk beperkte inhoud bekijken via het toegangsscherm

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2022-32855: Zitong Wu(吴梓桐) van Zhuhai No.1 Middle School(珠海市第一中学)

Bijgewerkt op 16 september 2022

iCloud Photo Library

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersinformatie

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2022-32849: Joshua Jones

ICU

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) van SSD Secure Disclosure Labs & DNSLab, Korea Univ.

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32841: hjy79425575

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-32802: Ivan Fratric van Google Project Zero, Mickey Jin (@patch1t)

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het vrijgeven van gebruikersinformatie

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-32830: Ye Zhang (@co0py_Cat) van Baidu Security

ImageIO

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service

Beschrijving: een null pointer dereference-probleem is verholpen door verbeterde validatie.

CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)

IOMobileFrameBuffer

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-26768: een anonieme onderzoeker

JavaScriptCore

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

WebKit Bugzilla: 241931

CVE-2022-48503: Dongzhuo Zhao in samenwerking met ADLab van Venustech en ZhaoHai van Cyberpeace Tech Co., Ltd.

Toegevoegd op 21 juni 2023

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32813: Xinru Chi van Pangu Lab

CVE-2022-32815: Xinru Chi van Pangu Lab

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-32817: Xinru Chi van Pangu Lab

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app met willekeurige kernellees- en -schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app met willekeurige kernellees- en -schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan onverwachte beëindiging van de app of willekeurige code-uitvoering veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC van China (nipc.org.cn)

libxml2

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2022-32823

Multi-Touch

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

PluginKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan mogelijk willekeurige bestanden lezen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2022-32838: Mickey Jin (@patch1t) van Trend Micro

Safari Extensions

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het lekken van gevoelige gegevens

Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.

CVE-2022-32784: Young Min Kim van CompSec Lab van Seoul National University

Software Update

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een gebruiker in een geprivilegieerde netwerkpositie kan de activiteit van een gebruiker bijhouden

Beschrijving: dit probleem is verholpen door HTTPS te gebruiken bij het verzenden van informatie over het netwerk.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

WebKit Bugzilla: 241526

CVE-2022-32885: P1umer(@p1umer) en Q1IQ(@q1iqF)

Toegevoegd op 16 maart 2023

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-32863: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)

Toegevoegd op 16 maart 2023

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface

Beschrijving: het probleem is verholpen door een verbeterde verwerking in de gebruikersinterface.

WebKit Bugzilla: 239316

CVE-2022-32816: Dohyun Lee (@l33d0hyun) van SSD Secure Disclosure Labs & DNSLab, Korea Univ.

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

WebKit Bugzilla: 240720

CVE-2022-32792: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro

WebRTC

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 242339

CVE-2022-2294: Jan Vojtesek van het Avast Threat Intelligence-team

Wi-Fi

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2022-32860: Wang Yu van Cyberserval

Toegevoegd op 9 november 2022

Wi-Fi

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-32837: Wang Yu van Cyberserval

Wi-Fi

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een externe gebruiker kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2022-32847: Wang Yu van Cyberserval

Aanvullende erkenning

802.1X

Met dank aan Shin Sun van de Nationale universiteit van Taiwan voor de hulp.

AppleMobileFileIntegrity

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security, Mickey Jin (@patch1t) van Trend Micro en Wojciech Reguła (@_r3ggi) van SecuRing voor de hulp.

configd

Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security, Mickey Jin (@patch1t) van Trend Micro en Wojciech Reguła (@_r3ggi) van SecuRing voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: