Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 15.7.6 og iPadOS 15.7.6
Utgitt 18. mai 2023
Accessibility
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-32388: Kirin (@Pwnrin)
Apple Neural Engine
Tilgjengelig for enheter med Apple Neural Engine: iPhone 8 og nyere, iPad Pro (3. generasjon) og nyere, iPad Air (3. generasjon) og nyere samt iPad mini (5. generasjon)
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Et logisk problem ble løst gjennom forbedrede kontroller.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tilgjengelig for enheter med Apple Neural Engine: iPhone 8 og nyere, iPad Pro (3. generasjon) og nyere, iPad Air (3. generasjon) og nyere samt iPad mini (5. generasjon)
Virkning: Et program kan være i stand til å få opphøyde rettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-32425: Mohamed Ghannam (@_simo36)
Oppføring lagt til 21. desember 2023
CoreCapture
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-28181: Tingting Yin fra Tsinghua University
ImageIO
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av et bilde kan føre til utilsiktet kodekjøring
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-32384: Meysam Firouzi @R00tkitsmm i samarbeid med Trend Micro Zero Day Initiative
IOSurface
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan lekke sensitiv kjernetilstand
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app som kjøres i sandkasse kan observere systemomfattende nettverksforbindelser
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) fra Synacktiv (@Synacktiv) i samarbeid med Trend Micro Zero Day Initiative
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32398: Adam Doupé fra ASU SEFCOM
Metal
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
NetworkExtension
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Dette problemet ble løst med forbedret sladding av sensitiv informasjon.
CVE-2023-32403: Adam M.
Oppføring oppdatert 21. desember 2023
Photos
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Rist for å angre kan gjøre at slettede bilder vises igjen, uten at det kreves autentisering
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-32365: Jiwon Park
Shell
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-32391: Wenchao Li og Xiaolong Bai fra Alibaba Group
Telephony
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En ekstern angriper kan være i stand til å forårsake uventet appavslutning eller utilsiktet kodekjøring
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32412: Ivan Fratric fra Google Project Zero
TV App
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2023-32408: Adam M.
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 254930
CVE-2023-28204: en anonym forsker
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til utilsiktet kodekjøring. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
WebKit Bugzilla: 254840
CVE-2023-32373: en anonym forsker
Ytterligere anerkjennelser
libxml2
Vi vil gjerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjelpen.
Reminders
Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.
Security
Vi vil gjerne takke James Duffy (mangoSecure) for hjelpen.
Wi-Fi
Vi vil gjerne takke Adam M. for hjelpen.
Oppføring oppdatert 21. desember 2023