Over de beveiligingsinhoud van iOS 17 en iPadOS 17

In dit document wordt de beveiligingsinhoud van iOS 17 en iPadOS 17 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 17 en iPadOS 17

Releasedatum: 18 september 2023

Accessibility

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een persoon met fysieke toegang tot een apparaat kan VoiceOver gebruiken om toegang tot privé-agenda-informatie te krijgen

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

CVE-2023-40529: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal

Toegevoegd op 22 december 2023

Airport

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een probleem met machtigingen is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke gegevens.

CVE-2023-40384: Adam M.

App Store

Impact: een externe aanvaller kan buiten de webmateriaal-sandbox komen

Beschrijving: het probleem is verholpen door verbeterde verwerking van protocollen.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.

CVE-2023-42872: Mickey Jin (@patch1t)

Toegevoegd op 22 december 2023

Apple Neural Engine

Beschikbaar voor apparaten met Apple Neural Engine: iPhone XS en nieuwer, iPad Pro 12,9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (8e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) van Baidu Security

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Bijgewerkt op 22 december 2023

Apple Neural Engine

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2023-40410: Tim Michaud (@TimGMichaud) van Moveworks.ai

Ask to Buy

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-38612: Chris Ross (Zoom)

Toegevoegd op 22 december 2023

AuthKit

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-32361: Csaba Fitzl (@theevilbit) van Offensive Security

Biometric Authentication

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2023-41232: Liang Wei van PixiePoint Security

Bluetooth

Impact: een aanvaller in fysieke nabijheid kan een beperkte schrijfbewerking buiten bereik veroorzaken

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-35984: zer0k

bootp

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een privacyprobleem is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.

CVE-2023-41065: Adam M., Noah Roskin-Frazee en Professor Jason Lau (ZeroClicks.ai Lab)

CFNetwork

Impact: een app dwingt mogelijk App Transport Security niet af

Beschrijving: het probleem is verholpen door verbeterde verwerking van protocollen.

CVE-2023-38596: Will Brattain van Trail of Bits

CoreAnimation

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40420: 이준성(Junsung Lee) van Cross Republic

Core Data

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2023-40528: Kirin (@Pwnrin) van NorthSea

Toegevoegd op 22 januari 2024

Dev Tools

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2023-32396: Mickey Jin (@patch1t)

Face ID

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 12,9-inch (2e generatie) en nieuwer, en iPad Pro 11-inch (1e generatie) en nieuwer

Impact: een 3D-model ontworpen om eruit te zien als de geregistreerde gebruiker kwam via Face ID door de identiteitscontrole

Beschrijving: dit probleem is verholpen door de antispoofingmodellen van Face ID te verbeteren.

CVE-2023-41069: Zhice Yang (ShanghaiTech University)

Toegevoegd op 22 december 2023

FileProvider

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-41980: Noah Roskin-Frazee en Professor Jason Lau (ZeroClicks.ai Lab)

Game Center

Impact: een app kan mogelijk toegang krijgen tot contacten

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-40395: Csaba Fitzl (@theevilbit) van Offensive Security

GPU Drivers

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40431: Certik Skyfall Team

GPU Drivers

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40391: Antonio Zekic (@antoniozekic) van Dataflow Security

GPU Drivers

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: er is een probleem met overmatig gebruik van resources aangepakt door verbeterde invoervalidatie.

CVE-2023-40441: Ron Masas van Imperva

iCloud Photo Library

Impact: een app kan toegang krijgen tot de bibliotheek met foto's van een gebruiker

Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.

CVE-2023-40434: Mikko Kenttälä (@Turmio_ ) van SensorFu

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2023-41995: Certik Skyfall Team, pattern-f (@pattern_F_) van Ant Security Light-Year Lab

CVE-2023-42870: Zweig van Kunlun Lab

CVE-2023-41974: Félix Poulin-Bélanger

Bijgewerkt op 22 december 2023

Kernel

Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-41981: Linus Henze van Pinauten GmbH (pinauten.de)

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.

Kernel

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.

CVE-2023-40429: Michael (Biscuit) Thomas en 张师傅(@京东蓝军)

Kernel

Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken

Beschrijving: een type confusion-probleem is verholpen door verbeterde controles.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) van MIT CSAIL

Toegevoegd op 22 december 2023

libpcap

Impact: een externe gebruiker kan het onverwacht beëindigen van de app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2023-40400: Sei K.

libxpc

Impact: een app kan mogelijk bestanden verwijderen waarvoor deze geen bevoegdheid heeft

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2023-40454: Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een autorisatieprobleem is verholpen door verbeterd statusbeheer.

CVE-2023-41073: Zhipeng Huo (@R3dF09) van Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Impact: het verwerken van webmateriaal kan leiden tot openbaarmaking van vertrouwelijke informatie

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) van PK Security

Maps

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-40427: Adam M. en Wojciech Regula van SecuRing (wojciechregula.blog)

MobileStorageMounter

Impact: een gebruiker kan de bevoegdheden verhogen

Beschrijving: een toegangsprobleem is verholpen door verbeterde toegangsbeperkingen.

CVE-2023-41068: Mickey Jin (@patch1t)

Music

Impact: een app kan beveiligde onderdelen van het bestandssysteem wijzigen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

Passkeys

Impact: een aanvaller heeft mogelijk zonder validatie toegang tot passkeys

Beschrijving: het probleem is verholpen door aanvullende machtigingscontroles.

CVE-2023-40401: weize she en een anonieme onderzoeker

Toegevoegd op 22 december 2023

Photos Storage

Impact: een app kan mogelijk toegang krijgen tot bewerkte foto's die zijn opgeslagen in een tijdelijke map

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Photos Storage

Impact: een app met rootbevoegdheden kan mogelijk toegang verkrijgen tot privégegevens

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2023-42934: Wojciech Regula van SecuRing (wojciechregula.blog)

Toegevoegd op 22 december 2023

Pro Res

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Impact: een app kan een denial-of-service veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2023-40422: Tomi Tokics (@tomitokics) van iTomsn0w

Toegevoegd op 22 december 2023

Safari

Impact: een app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-35990: Adriatik Raci of Sentry Cybersecurity

Safari

Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface

Beschrijving: een probleem met vensterbeheer is verholpen door verbeterd statusbeheer.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) van Suma Soft Pvt. Ltd

Bijgewerkt op 22 december 2023

Sandbox

Impact: een app kan mogelijk willekeurige bestanden overschrijven

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Impact: een app kan mogelijk gevoelige gegevens openen die geregistreerd worden wanneer een gebruiker een link deelt

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

Siri

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.

CVE-2023-40428: Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal

StorageKit

Impact: een app kan mogelijk willekeurige bestanden lezen

Beschrijving: dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2023-41968: Mickey Jin (@patch1t) en James Hutchins

TCC

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33), en Csaba Fitzl (@theevilbit) van Offensive Security

WebKit

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills), en Dohyun Lee (@l33d0hyun) van PK Security

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Bijgewerkt op 22 december 2023

WebKit

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) van Cross Republic en Jie Ding (@Lime) van HKUS3 Lab

Bijgewerkt op 22 december 2023

WebKit

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) en Jong Seong Kim (@nevul37) van AbyssLab, en zhunki

Bijgewerkt op 22 januari 2024

WebKit

Impact: het wachtwoord van een gebruiker kan hardop worden voorgelezen door VoiceOver

Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Toegevoegd op 22 december 2023

WebKit

Impact: een externe aanvaller kan mogelijk gelekte DNS-queries bekijken met Privédoorgifte ingeschakeld

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

WebKit Bugzilla: 257303
CVE-2023-40385: anoniem

Toegevoegd op 22 december 2023

WebKit

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een correctheidsprobleem is verholpen door verbeterde controles.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) en Jong Seong Kim (@nevul37) van AbyssLab

Toegevoegd op 22 december 2023

Wi-Fi

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem of het schrijven van kernelgeheugen

Beschrijving: een probleem met geheugenbeschadiging is opgelost door de kwetsbare code te verwijderen.

CVE-2023-38610: Wang Yu van Cyberserval

Toegevoegd op 22 december 2023

Aanvullende erkenning

Accessibility

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal voor de hulp.

Airport

Met dank aan Adam M., Noah Roskin-Frazee en Professor Jason Lau (ZeroClicks.ai Lab) voor de hulp.

Apple Neural Engine

Met dank aan pattern-f (@pattern_F_) van Ant Security Light-Year Lab voor de hulp.

Toegevoegd op 22 december 2023

AppSandbox

Met dank aan Kirin (@Pwnrin) voor de hulp.

Audio

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Bluetooth

Met dank aan Jianjun Dai en Guang Gong van 360 Vulnerability Research Institute voor de hulp.

Books

Met dank aan Aapo Oksman van Nixu Cybersecurity voor de hulp.

Control Center

Met dank aan Chester van den Bogaard voor de hulp.

CoreMedia Playback

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Data Detectors UI

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal voor de hulp.

Draco

Met dank aan David Coomber voor de hulp.

Find My

Met dank aan Cher Scarlett voor de hulp.

Home

Met dank aan Jake Derouin (jakederouin.com) voor de hulp.

IOUserEthernet

Met dank aan Certik Skyfall Team voor de hulp.

Toegevoegd op 22 december 2023

Kernel

Met dank aan Bill Marczak van The Citizen Lab bij de Munk School van de universiteit van Toronto, Maddie Stone van Googles Threat Analysis Group en 永超王 voor de hulp.

Keyboard

Met dank aan een anonieme onderzoeker voor de hulp.

libxml2

Met dank aan OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.

libxpc

Met dank aan een anonieme onderzoeker voor de hulp.

libxslt

Met dank aan Dohyun Lee (@l33d0hyun) van PK Security, OSS-Fuzz en Ned Williamson van Google Project Zero voor de hulp.

Menus

Met dank aan Matthew Denton van Google Chrome Security voor de hulp.

Toegevoegd op 22 december 2023

Notes

Met dank aan Lucas-Raphael Müller voor de hulp.

Notifications

Met dank aan Jiaxu Li voor de hulp.

NSURL

Met dank aan Zhanpeng Zhao (行之) en 糖豆爸爸(@晴天组织) voor de hulp.

Password Manager

Met dank aan Hidetoshi Nakamura voor de hulp.

Photos

Met dank aan Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius en Paul Lurin voor de hulp.

Power Services

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Quick Look

Met dank aan 이준성(Junsung Lee) van Cross Republic voor de hulp.

Toegevoegd op 22 december 2023

Safari

Met dank aan Kang Ali van Punggawa Cyber Security en Andrew James Gonzalez voor de hulp.

Safari Private Browsing

Met dank aan Khiem Tran, Narendra Bhati van Suma Soft Pvt. Ltd. en een anonieme onderzoeker voor de hulp.

Shortcuts

Met dank aan Alfie CG, Christian Basting van Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Roemenië, Giorgos Christodoulidis, Jubaer Alnazi van TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) en Matthew Butler voor de hulp.

Bijgewerkt op 24 april 2024

Siri

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal voor de hulp.

Software Update

Met dank aan Omar Siman voor de hulp.

Spotlight

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal en Dawid Pałuska voor de hulp.

Standby

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal voor de hulp.

Status Bar

Met dank aan N en een anonieme onderzoeker voor de hulp.

StorageKit

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Weather

Met dank aan Wojciech Regula van SecuRing (wojciechregula.blog) voor de hulp.

Toegevoegd op 22 december 2023

WebKit

Met dank aan Khiem Tran, Narendra Bhati van Suma Soft Pvt. Ltd. en een anonieme onderzoeker voor de hulp.

WebRTC

Met dank aan een anonieme onderzoeker voor de hulp.

Wi-Fi

Met dank aan Wang Yu van Cyberserval voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 29 april 2024