Over de beveiligingsinhoud van iOS 15.7 en iPadOS 15.7

In dit document wordt de beveiligingsinhoud van iOS 15.7 en iPadOS 15.7 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 15.7 en iPadOS 15.7

Releasedatum: 12 september 2022

Apple Neural Engine

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

Toegevoegd op 27 oktober 2022

Audio

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2022-42796: Mickey Jin (@patch1t)

Toegevoegd op donderdag 27 oktober 2022, bijgewerkt op maandag 1 mei 2023

Backup

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan toegang krijgen tot iOS-reservekopieën

Beschrijving: een machtigingsprobleem met aanvullende beperkingen is verholpen.

CVE-2022-32929: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 27 oktober 2022

Contacts

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2022-32854: Holger Fuhrmannek van Deutsche Telekom Security

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32911: Zweig van Kunlun Lab

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-32864: Linus Henze van Pinauten GmbH (pinauten.de)

Kernel

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2022-32917: een anonieme onderzoeker

Maps

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan gevoelige locatiegegevens lezen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-32883: Ron Masas, breakpointhq.com

MediaLibrary

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een gebruiker kan de bevoegdheden verhogen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2022-32908: een anonieme onderzoeker

Notifications

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een gebruiker met fysieke toegang tot een apparaat heeft toegang tot contacten vanaf het toegangsscherm

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-32879: Ubeydullah Sümer

Toegevoegd op 27 oktober 2022

Safari

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-32795: Narendra Bhati van Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari Extensions

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een website kan gebruikers volgen via Safari-webextensies

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Security

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een app kan codeondertekeningscontroles omzeilen

Beschrijving: een probleem met de ondertekening van code is verholpen door verbeterde controles.

CVE-2022-42793: Linus Henze van Pinauten GmbH (pinauten.de)

Toegevoegd op 27 oktober 2022

Shortcuts

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een persoon met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot foto's vanaf het toegangsscherm

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-32872: Elite Tech Guru

Sidecar

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een gebruiker kan mogelijk beperkte inhoud bekijken via het toegangsscherm

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2022-42790: Om kothawade van Zaprico Digital

Toegevoegd op 27 oktober 2022

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Toegevoegd op 27 oktober 2022

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) van Theori in samenwerking met het Zero Day Initiative van Trend Micro

WebKit Sandboxing

Beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie)

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een toegangsprobleem is verholpen door verbeteringen aan de sandbox.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 en @jq0904 van DBAppSecurity's WeBin lab

Toegevoegd op 27 oktober 2022

Aanvullende erkenning

AppleCredentialManager

Met dank aan @jonathandata1 voor de hulp.

Toegevoegd op 27 oktober 2022

FaceTime

Met dank aan een anonieme onderzoeker voor de hulp.

Toegevoegd op 27 oktober 2022

Game Center

Met dank aan Joshua Jones voor de hulp.

Identity Services

Met dank aan Joshua Jones voor de hulp.

Kernel

Met dank aan een anonieme onderzoeker voor de hulp.

Toegevoegd op 27 oktober 2022

WebKit

Met dank aan een anonieme onderzoeker voor de hulp.

Toegevoegd op 27 oktober 2022

WebRTC

Met dank aan een anonieme onderzoeker voor de hulp.

Toegevoegd op 27 oktober 2022

 

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: