Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
iOS 15.7.6 en iPadOS 15.7.6
Releasedatum: 18 mei 2023
Accessibility
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2023-32388: Kirin (@Pwnrin)
Apple Neural Engine
Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)
Impact: een app kan buiten zijn sandbox komen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Beschikbaar voor apparaten met Apple Neural Engine: iPhone 8 en nieuwer, iPad Pro (3e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer en iPad mini (5e generatie)
Impact: een app kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-32425: Mohamed Ghannam (@_simo36)
Toegevoegd op 21 december 2023
CoreCapture
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2023-28181: Tingting Yin van Tsinghua University
ImageIO
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van een afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) in samenwerking met Trend Micro Zero Day Initiative
IOSurface
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan gevoelige kernelstatus vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app in de sandbox kan systeembrede netwerkverbindingen observeren
Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan toegang krijgen tot rootbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) van Synacktiv (@Synacktiv) in samenwerking met Trend Micro Zero Day Initiative
Kernel
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32398: Adam Doupé van ASU SEFCOM
Metal
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
NetworkExtension
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van gevoelige gegevens.
CVE-2023-32403: Adam M.
Bijgewerkt op 21 december 2023
Photos
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: met 'Herstel door schudden' kan een verwijderde foto zonder authenticatie weer beschikbaar worden gemaakt
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32365: Jiwon Park
Shell
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een opdracht kan bij bepaalde acties gebruikmaken van gevoelige gegevens zonder dat de gebruiker om toestemming wordt gevraagd
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2023-32391: Wenchao Li en Xiaolong Bai van Alibaba Group
Telephony
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2023-32412: Ivan Fratric van Google Project Zero
TV App
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: een app kan mogelijk vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2023-32408: Adam M.
WebKit
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van webinhoud kan gevoelige informatie vrijgeven Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
WebKit Bugzilla: 254930
CVE-2023-28204: een anonieme onderzoeker
WebKit
Beschikbaar voor: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie)
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
WebKit Bugzilla: 254840
CVE-2023-32373: een anonieme onderzoeker
Aanvullende erkenning
libxml2
Met dank aan OSS-Fuzz, en Ned Williamson van Google Project Zero voor de hulp.
Reminders
Met dank aan Kirin (@Pwnrin) voor de hulp.
Security
Met dank aan James Duffy (mangoSecure) voor de hulp.
Wi-Fi
Met dank aan Adam M. voor de hulp.
Bijgewerkt op 21 december 2023