Over de beveiligingsinhoud van iOS 15.7.2 en iPadOS 15.7.2

In dit document wordt de beveiligingsinhoud van iOS 15.7.2 en iPadOS 15.7.2 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 15.7.2 en iPadOS 15.7.2

Releasedatum: dinsdag 13 december 2022

AppleAVD

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het uitvoeren van kernelcode

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2022-46694: Andrey Labunets en Nikita Tarakanov

AVEVideoEncoder

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2022-42848: ABC Research s.r.o

File System

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een app kan buiten zijn sandbox komen

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-42861: pattern-f (@pattern_F_) van Ant Security Light-Year Lab

Graphics Driver

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42846: Willy R. Vasquez van The University of Texas in Austin

IOHIDFamily

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2022-42864: Tommy Muir (@Muirey03)

iTunes Store

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken

Beschrijving: er was een probleem met het parseren van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2022-42837: Weijia Dai (@dwj1210) van Momo Security

Kernel

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2022-46689: Ian Beer van Google Project Zero

libxml2

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2022-40303: Maddie Stone van Google Project Zero

libxml2

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-40304: Ned Williamson en Nathan Wachholz van Google Project Zero

ppp

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42840: een anonieme onderzoeker

Preferences

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een app kan mogelijk arbitraire bevoegdheden gebruiken

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

CVE-2022-42855: Ivan Fratric van Google Project Zero

Safari

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface

Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

TCC

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-46718: Michael (Biscuit) Thomas

Toegevoegd op maandag 1 mei 2023

Weather

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2022-46703: Wojciech Reguła (@_r3ggi) van SecuRing en een anonieme onderzoeker

Toegevoegd op 16 maart 2023

WebKit

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde controle.

WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren en Hang Shu van Institute of Computing Technology, Chinese Academy of Sciences

Toegevoegd op 16 maart 2023

WebKit

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing

Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2022-46705: Hyeon Park (@tree_segment) van Team ApplePIE

Toegevoegd op 16 maart 2023

WebKit

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugengebruik is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 245466
CVE-2022-46691: een anonieme onderzoeker

WebKit

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2022-42852: hazbinhotel in samenwerking met Trend Micro Zero Day Initiative

WebKit

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan het Same Origin-beleid omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß van Google V8 Security

WebKit

Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad (5e generatie) en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie)

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem in versies van iOS die zijn uitgebracht vóór iOS 15.1.

Beschrijving: een type confusion-probleem is verholpen door verbeterde statusverwerking.

WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne van de Threat Analysis Group van Google

 

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: