Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 16.5 og iPadOS 16.5
Utgitt 18. mai 2023
Accessibility
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-32388: Kirin (@Pwnrin)
Accessibility
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Rettigheter og personverninnstillinger som er angitt for denne appen, kan bli brukt av en skadelig app
Beskrivelse: Et logisk problem ble løst gjennom forbedrede kontroller.
CVE-2023-32400: Mickey Jin (@patch1t)
Accounts
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En angriper kan lekke e-postadressene til brukerkontoer
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret sensurering av sensitiv informasjon.
CVE-2023-34352: Sergii Kryvoblotskyi fra MacPaw Inc.
Oppføring lagt til 5. september 2023
Apple Neural Engine
Tilgjengelig for enheter med Apple Neural Engine: iPhone 8 og nyere, iPad Pro (3. generasjon) og nyere, iPad Air (3. generasjon) og nyere samt iPad mini (5. generasjon)
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-32425: Mohamed GHANNAM (@_simo36)
Oppføring lagt til 5. september 2023
AppleMobileFileIntegrity
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2023-32411: Mickey Jin (@patch1t)
Associated Domains
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-32371: James Duffy (mangoSecure)
Cellular
Tilgjengelig for: iPhone 8 og iPhone X
Virkning: En ekstern angriper kan være i stand til å starte utilsiktet kodekjøring
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
CVE-2023-32419: Amat Cama of Vigilant Labs
Core Location
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2023-32399: Adam M.
Oppføring oppdatert 5. september 2023
CoreServices
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-28191: Mickey Jin (@patch1t)
GeoServices
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-32392: Adam M.
Oppføring oppdatert 5. september 2023
ImageIO
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av et bilde kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-32372: Meysam Firouzi @R00tkitSMM fra Mbition Mercedes-Benz Innovation Lab i samarbeid med Trend Micro Zero Day Initiative
Oppføring oppdatert 5. september 2023
ImageIO
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av et bilde kan føre til utilsiktet kodekjøring
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm i samarbeid med Trend Micro Zero Day Initiative
IOSurfaceAccelerator
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-32354: Linus Henze fra Pinauten GmbH (pinauten.de)
IOSurfaceAccelerator
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å forårsake uventet systemavslutning eller lese kjerneminnet
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-32420: CertiK SkyFall Team og Linus Henze of Pinauten GmbH (pinauten.de)
Oppføring oppdatert 5. september 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.
CVE-2023-27930: 08Tc3wBB fra Jamf
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32398: Adam Doupé fra ASU SEFCOM
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv) i samarbeid med Trend Micro Zero Day Initiative
LaunchServices
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Et program kan omgå Gatekeeper-kontroller
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-32352: Wojciech Reguła (@_r3ggi) fra SecuRing (wojciechregula.blog)
libxml2
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Flere problemer i libxml2
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2023-29469: OSS-Fuzz og Ned Williamson fra Google Project Zero
CVE-2023-42869: OSS-Fuzz og Ned Williamson fra Google Project Zero
Oppføring lagt til 21. desember 2023
MallocStackLogging
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Problemet ble løst gjennom forbedret filhåndtering.
CVE-2023-32428: Gergely Kalman (@gergely_kalman)
Oppføring lagt til 5. september 2023
Metal
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
Model I/O
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av en 3D-modell kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-32368: Mickey Jin (@patch1t)
NetworkExtension
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Dette problemet ble løst med forbedret sladding av sensitiv informasjon.
CVE-2023-32403: Adam M.
Oppføring oppdatert 5. september 2023
NSURLSession
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst med forbedringer i filhåndteringsprotokollen.
CVE-2023-32437: Thijs Alkemade fra Computest Sector 7
Oppføring lagt til 5. september 2023
PDFKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Åpning av en PDF-fil kan føre til uventet appavslutning
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret minnehåndtering.
CVE-2023-32385: Jonathan Fritz
Photos
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Rist for å angre kan gjøre at slettede bilder vises igjen, uten at det kreves autentisering
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-32365: Jiwon Park
Photos
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Bilder i albumet Skjulte bilder kan være synlige uten autentisering via Visuelt søk
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-32390: Julian Szulc
Sandbox
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å beholde tilgangen til systemets konfigurasjonsfiler selv om tillatelsen er opphevet
Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32357: Yiğit Can YILMAZ (@yilmazcanyigit), Koh M. Nakagawa fra FFRI Security, Inc., Kirin (@Pwnrin), Jeff Johnson (underpassapp.com) og Csaba Fitzl (@theevilbit) fra Offensive Security
Security
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2023-32367: James Duffy (mangoSecure)
Share Sheet
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av midlertidige filer.
CVE-2023-32432: Kirin (@Pwnrin)
Oppføring lagt til 5. september 2023
Shortcuts
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-32391: Wenchao Li og Xiaolong Bai fra Alibaba Group
Shortcuts
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2023-32404: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com) og en anonym forsker
Siri
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En person med fysisk tilgang til en enhet kan klare å se kontaktinformasjon via låst skjerm
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-32394: Khiem Tran
SQLite
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst ved å legge til begrensninger for ytterligere SQLite-loggføring.
CVE-2023-32422: Gergely Kalman (@gergely_kalman), og Wojciech Reguła fra SecuRing (wojciechregula.blog)
Oppføring oppdatert 02. juni 2023
StorageKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2023-32376: Yiğit Can YILMAZ (@yilmazcanyigit)
System Settings
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Det kan hende at brannmurinnstillingen for en app ikke trer i kraft etter at innstillingsappen avsluttes
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2023-28202: Satish Panduranga og en anonym forsker
Telephony
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32412: Ivan Fratric fra Google Project Zero
TV App
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2023-32408: en anonym forsker
Weather
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Dette problemet ble løst med forbedret sladding av sensitiv informasjon.
CVE-2023-32415: Wojciech Regula fra SecuRing (wojciechregula.blog) og en anonym forsker
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 255075
CVE-2023-32402: Ignacio Sanmillan (@ulexec)
Oppføring oppdatert 21. desember 2023
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
WebKit Bugzilla: 254781
CVE-2023-32423: Ignacio Sanmillan (@ulexec)
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En ekstern angriper kan være i stand til å bryte seg ut av sandkassen Nettinnhold. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne fra Googles Threat Analysis Group og Donncha Ó Cearbhaill fra Amnesty Internationals Security Lab
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 254930
CVE-2023-28204: en anonym forsker
Dette problemet ble først håndtert i Rapid Security Response iOS 16.4.1 (a) and iPadOS 16.4.1 (a).
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av skadelig nettinnhold kan føre til utilsiktet kodekjøring. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
WebKit Bugzilla: 254840
CVE-2023-32373: en anonym forsker
Dette problemet ble først håndtert i Rapid Security Response iOS 16.4.1 (a) and iPadOS 16.4.1 (a).
Wi-Fi
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Dette problemet ble løst med forbedret sladding av sensitiv informasjon.
CVE-2023-32389: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
Ytterligere anerkjennelser
Accounts
Vi vil gjerne takke Sergii Kryvoblotskyi fra MacPaw Inc. for hjelpen.
CloudKit
Vi vil gjerne takke Iconic for hjelpen.
Find My
Vi vil gjerne takke Abhinav Thakur, Artem Starovoitov, Hodol K og en anonym forsker for hjelpen.
Oppføring lagt til 21. desember 2023
libxml2
Vi vil gjerne takke OSS-Fuzz og Ned Williamson fra Google Project Zero for hjelpen.
Reminders
Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.
Security
Vi vil gjerne takke Brandon Toms for hjelpen.
Share Sheet
Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.
Transporter
Vi vil gjerne takke James Duffy (mangoSecure) for hjelpen.
Oppføring lagt til 21. desember 2023
Wallet
Vi vil gjerne takke James Duffy (mangoSecure) for hjelpen.
WebRTC
Vi vil gjerne takke Dohyun Lee (@l33d0hyun) fra PK Security og en anonym forsker for hjelpen.
Oppføring lagt til 21. desember 2023
Wi-Fi
Vi vil gjerne takke Adam M. for hjelpen.
Oppføring lagt til 21. desember 2023
Wi-Fi Connectivity
Vi vil gjerne takke Adam M. for hjelpen.
Oppføring oppdatert 21. desember 2023