Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 15.7 og iPadOS 15.7
Utgitt 12. september 2022
Apple Neural Engine
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
Oppføring lagt til 27. oktober 2022
Audio
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2022-42796: Mickey Jin (@patch1t)
Oppføring lagt til 27. oktober 2022, oppdatert 1. mai 2023
Backup
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En app kan være i stand til å få tilgang til iOS-sikkerhetskopier
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2022-32929: Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 27. oktober 2022
Contacts
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En app kan kanskje omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32854: Holger Fuhrmannek fra Deutsche Telekom Security
Kernel
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32911: Zweig fra Kunlun Lab
Kernel
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En app kan oppgi kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)
Kernel
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2022-32917: en anonym forsker
Maps
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En app kan kanskje lese sensitiv stedsinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-32883: Ron Masas fra breakpointhq.com
MediaLibrary
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En bruker kan være i stand til å heve privilegier
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-32908: en anonym forsker
Notifications
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En bruker med fysisk tilgang til en enhet kan få tilgang til kontakter fra låst skjerm
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32879: Ubeydullah Sümer
Oppføring lagt til 27. oktober 2022
Safari
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32795: Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari Extensions
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Et nettsted kan være i stand til å spore brukere gjennom Safari-nettutvidelser
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Security
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En app kan være i stand til å omgå kode-signeringskontroller
Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.
CVE-2022-42793: Linus Henze fra Pinauten GmbH (pinauten.de)
Oppføring lagt til 27. oktober 2022
Shortcuts
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En person med fysisk tilgang til en iOS-enhet kan få tilgang til bilder fra låseskjermen
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-32872: Elite Tech Guru
Sidecar
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En bruker kan se begrenset innhold på låst skjerm
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-42790: Om kothawade fra Zaprico Digital
Oppføring lagt til 27. oktober 2022
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.?
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Oppføring lagt til 27. oktober 2022
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) hos Theori i samarbeid med Trend Micro Zero Day Initiative?
WebKit Sandboxing
Tilgjengelig for: iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad (5. generasjon og nyere), iPad mini 4 og nyere samt iPod touch (7. generasjon)
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et tilgangsproblem ble løst med forbedringer av sandkassen.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 og @jq0904 fra DBAppSecurity's WeBin lab
Oppføring lagt til 27. oktober 2022
Ytterligere anerkjennelser
AppleCredentialManager
Vi vil gjerne takke @jonathandata1 for hjelpen.
Oppføring lagt til 27. oktober 2022
FaceTime
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 27. oktober 2022
Game Center
Vi vil gjerne takke Joshua Jones for hjelpen.
Identity Services
Vi vil gjerne takke Joshua Jones for hjelpen.
Kernel
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 27. oktober 2022
WebKit
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 27. oktober 2022
WebRTC
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 27. oktober 2022