Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

iOS 15.7.4 og iPadOS 15.7.4
Utgitt 27. mars 2023
Accessibility
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-23541: Csaba Fitzl (@theevilbit) fra Offensive Security
Calendar
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Importering av en skadelig kalenderinvitasjon kan eksfiltrere brukerinformasjon
Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En sandkasseapp kan være i stand til å finne ut hvilken app som bruker kameraet for øyeblikket
Beskrivelse: Problemet ble løst gjennom tilleggsbegrensninger for observerbarheten av apptilstander.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2023-27936: Tingting Yin fra Tsinghua University
Find My
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-23537: en anonym forsker
FontParser
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-27956: Ye Zhang fra Baidu Security
Identity Services
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan være i stand til å få tilgang til informasjon om en brukers kontakter
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-27928: Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-23535: ryuzaki
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2023-27969: Adam Doupé fra ASU SEFCOM
Model I/O
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En bruker i en privilegert nettverksposisjon kan kanskje etterligne en VPN-server som er konfigurert med kun EAP-autentisering på en enhet
Beskrivelse: Problemet ble løst gjennom forbedret autentisering.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En snarvei kan kanskje bruke sensitive data med bestemte handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin fra TRS Group Of Companies og Wenchao Li og Xiaolong Bai fra Alibaba Group
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Et nettsted kan være i stand til å spore sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst ved å fjerne informasjon om opprinnelse.
WebKit Bugzilla: 250837
CVE-2023-27954: en anonym forsker
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.
WebKit Bugzilla: 251944
CVE-2023-23529: en anonym forsker

Ytterligere anerkjennelser
Vi vil gjerne takke Fabian Ising fra FH Münster University of Applied Sciences, Damian Poddebniak fra FH Münster University of Applied Sciences, Tobias Kappert fra Münster University of Applied Sciences, Christoph Saatjohann fra Münster University of Applied Sciences og Sebast for hjelpen.
WebKit Web Inspector
Vi vil gjerne takke Dohyun Lee (@l33d0hyun) og crixer (@pwning_me) fra SSD Labs for hjelpen.