Om sikkerhetsinnholdet i iOS 15.7 og iPadOS 15.7

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 15.7 og iPadOS 15.7.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

iOS 15.7 og iPadOS 15.7

Utgitt 12. september 2022

Apple Neural Engine

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

Oppføring lagt til 27. oktober 2022

Audio

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et program kan være i stand til å få opphøyde rettigheter

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2022-42796: Mickey Jin (@patch1t)

Oppføring lagt til 27. oktober 2022, oppdatert 1. mai 2023

Backup

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En app kan være i stand til å få tilgang til iOS-sikkerhetskopier

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2022-32929: Csaba Fitzl (@theevilbit) fra Offensive Security

Oppføring lagt til 27. oktober 2022

Contacts

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En app kan kanskje omgå personvernpreferanser

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-32854: Holger Fuhrmannek fra Deutsche Telekom Security

Kernel

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32911: Zweig fra Kunlun Lab

Kernel

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En app kan oppgi kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)

Kernel

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2022-32917: en anonym forsker

Maps

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En app kan kanskje lese sensitiv stedsinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32883: Ron Masas fra breakpointhq.com

MediaLibrary

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En bruker kan være i stand til å heve privilegier

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2022-32908: en anonym forsker

Notifications

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En bruker med fysisk tilgang til en enhet kan få tilgang til kontakter fra låst skjerm

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32879: Ubeydullah Sümer

Oppføring lagt til 27. oktober 2022

Safari

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-32795: Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati

Safari Extensions

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Et nettsted kan være i stand til å spore brukere gjennom Safari-nettutvidelser

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Security

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En app kan være i stand til å omgå kode-signeringskontroller

Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.

CVE-2022-42793: Linus Henze fra Pinauten GmbH (pinauten.de)

Oppføring lagt til 27. oktober 2022

Shortcuts

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En person med fysisk tilgang til en iOS-enhet kan få tilgang til bilder fra låseskjermen

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32872: Elite Tech Guru

Sidecar

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En bruker kan se begrenset innhold på låst skjerm

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-42790: Om kothawade fra Zaprico Digital

Oppføring lagt til 27. oktober 2022

WebKit

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.?

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Oppføring lagt til 27. oktober 2022

WebKit

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) hos Theori i samarbeid med Trend Micro Zero Day Initiative?

WebKit Sandboxing

Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)

Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner

Beskrivelse: Et tilgangsproblem ble løst med forbedringer av sandkassen.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 og @jq0904 fra DBAppSecurity's WeBin lab

Oppføring lagt til 27. oktober 2022

Ytterligere anerkjennelser

AppleCredentialManager

Vi vil gjerne takke @jonathandata1 for hjelpen.

Oppføring lagt til 27. oktober 2022

FaceTime

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 27. oktober 2022

Game Center

Vi vil gjerne takke Joshua Jones for hjelpen.

Identity Services

Vi vil gjerne takke Joshua Jones for hjelpen.

Kernel

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 27. oktober 2022

WebKit

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 27. oktober 2022

WebRTC

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 27. oktober 2022

 

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: