Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 16.6 og iPadOS 16.6
Utgitt 24. juli 2023
Accessibility
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-40442: Nick Brook
Oppføring lagt til 31. oktober 2023
Accounts
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-40439: Kirin (@Pwnrin)
Oppføring lagt til 31. oktober 2023
Apple Neural Engine
Tilgjengelig for enheter med Apple Neural Engine: iPhone 8 og nyere, iPad Pro (3. generasjon) og nyere, iPad Air (3. generasjon) og nyere samt iPad mini (5. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-34425: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
CVE-2023-38136: Mohamed GHANNAM (@_simo36)
CVE-2023-38580: Mohamed GHANNAM (@_simo36)
Oppføring oppdatert 31. oktober 2023
CFNetwork
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-40392: Wojciech Regula fra SecuRing (wojciechregula.blog)
Oppføring lagt til 31. oktober 2023
Find My
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-40437: Kirin (@Pwnrin) og Wojciech Regula fra SecuRing (wojciechregula.blog)
Oppføring lagt til 31. oktober 2023
Find My
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2023-32416: Wojciech Regula fra SecuRing (wojciechregula.blog)
ImageIO
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandlingen av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-3970: funnet av OSS-Fuzz
Oppføring lagt til 31. oktober 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2023-38590: Zweig fra Kunlun Lab
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2023-36495: 香农的三蹦子 fra Pangu Lab
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2023-38604: en anonym forsker
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-32734: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs SG Pte. Ltd.
CVE-2023-38261: en anonym forsker
CVE-2023-38424: Certik Skyfall Team
CVE-2023-38425: Certik Skyfall Team
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan endre sensitiv kjernetilstand. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS utgitt før iOS 15.7.1.
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32381: an anonym forsker
CVE-2023-32433: Zweig fra Kunlun Lab
CVE-2023-35993: Kaitao Xie and Xiaolong Bai fra Alibaba Group
CVE-2023-41995: Certik Skyfall Team og pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Oppføring oppdatert 31. oktober 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En bruker kan være i stand til å utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-38410: en anonym forsker
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-38603: Zweig fra Kunlun Lab
libpcap
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En ekstern bruker kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedrede kontroller.
CVE-2023-40400: Sei K.
Oppføring lagt til 31. oktober 2023
libxpc
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2023-38565: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å forårsake tjenestenekt
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-38593: Noah Roskin-Frazee
Logging
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst ved å forbedre valideringen av miljøvariabler.
CVE-2023-40394: Wojciech Regula fra SecuRing (wojciechregula.blog)
Oppføring lagt til 31. oktober 2023
NSURLSession
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst med forbedringer i filhåndteringsprotokollen.
CVE-2023-32437: Thijs Alkemade fra Computest Sector 7
Weather
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å fastslå brukerens nåværende posisjon
Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.
CVE-2023-38605: Adam M.
Oppføring lagt til 31. oktober 2023
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig JavaScript-kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 257824
CVE-2023-40397: Johan Carlsson (joaxcar)
Oppføring lagt til 31. oktober 2023
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Et nettsted kan være i stand til å spore sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin og Yuval Yarom
Oppføring lagt til 27. juli 2023
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av et dokument kan føre til et skriptangrep mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Oppføring lagt til 27. juli 2023
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
WebKit Bugzilla: 257331
CVE-2023-38592: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – India, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina og Lorenzo Veronese fra TU Wien
Oppføring lagt til 27. juli 2023
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Et nettsted kan omgå regelen for samme opprinnelse (Same Origin)
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – India
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Bugzilla: 256573
CVE-2023-38595: en anonym forsker, Jiming Wang og Jikai Ren
WebKit Bugzilla: 257387
CVE-2023-38600: En anonym forsker i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 258058
CVE-2023-38611: Francisco Alonso (@revskills)
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 259231
CVE-2023-37450: en anonym forsker
Dette problemet ble først håndtert i Kritisk sikkerhetsoppdatering iOS 16.5.1 (a) og iPadOS 16.5.1 (a).
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 257684
CVE-2023-42866: Francisco Alonso (@revskills) og Junsung Lee
Oppføring lagt til 21. desember 2023
WebKit Process Model
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) fra Cross Republic
WebKit Web Inspector
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Ytterligere anerkjennelser
Vi vil gjerne takke Parvez Anwar for hjelpen.
Screenshots
Vi vil gjerne takke Dametto Luca, Casati Jacopo, Eric Williams (@eric5310pub) og Yannik Bloscheck (yannikbloscheck.com) for hjelpen.
Oppføring lagt til 31. oktober 2023
WebKit
Vi vil gjerne takke Narendra Bhati (@imnarendrabhati) fra Suma Soft Pvt. Ltd. India for hjelpen.
Oppføring lagt til 31. oktober 2023
WebKit
Vi vil gjerne takke Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd. Pune – India for hjelpen.
Oppføring lagt til 27. juli 2023
WebRTC
Vi vil gjerne takke en anonym forsker for hjelpen.