Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 15.7.8 og iPadOS 15.7.8
Utgitt 24. juli 2023
Accessibility
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-40442: Nick Brook
Oppføring lagt til 8. september 2023
Apple Neural Engine
Tilgjengelig for enheter med Apple Neural Engine: iPhone 8 og nyere, iPad Pro (3. generasjon) og nyere, iPad Air (3. generasjon) og nyere samt iPad mini (5. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-34425: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
Oppføring lagt til 27. juli 2023
Apple Neural Engine
Tilgjengelig for enheter med Apple Neural Engine: iPhone 8 og nyere, iPad Pro (3. generasjon) og nyere, iPad Air (3. generasjon) og nyere samt iPad mini (5. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CFNetwork
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2023-40392: Wojciech Regula fra SecuRing (wojciechregula.blog)
Oppføring lagt til 8. september 2023
Find My
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2023-32416: Wojciech Regula fra SecuRing (wojciechregula.blog)
FontParser
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av en fontfil kan føre til kjøring av vilkårlig kode. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS utgitt før iOS 15.7.1.
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky
Oppføring lagt til 8. september 2023
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-38603: Zweig fra Kunlun Lab
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2023-38590: Zweig fra Kunlun Lab
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
CVE-2023-36495: 香农的三蹦子 fra Pangu Lab
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2023-38604: en anonym forsker
Oppføring lagt til 27. juli 2023
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs SG Pte. Ltd.
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan endre sensitiv kjernetilstand. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS utgitt før iOS 15.7.1.
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.
CVE-2023-32433: Zweig fra Kunlun Lab
CVE-2023-35993: Kaitao Xie and Xiaolong Bai fra Alibaba Group
Kernel
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-38603: Zweig fra Kunlun Lab
Oppføring lagt til 22. desember 2023
libxpc
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan være i stand til å forårsake tjenestenekt
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-38593: Noah Roskin-Frazee
Oppføring lagt til 27. juli 2023
libxpc
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan være i stand til å få rotrettigheter
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2023-38565: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Oppføring lagt til 27. juli 2023
Security
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Et program kan kanskje samle inn identifiserende brukerinformasjon
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2023-42831: James Duffy (mangoSecure)
Oppføring lagt til 22. desember 2023
Weather
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En app kan være i stand til å fastslå brukerens nåværende posisjon
Beskrivelse: Dette problemet ble løst med forbedret sladding av sensitiv informasjon.
CVE-2023-38605: Adam M.
Oppføring lagt til 8. september 2023
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Et nettsted kan være i stand til å spore sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin og Yuval Yarom
Oppføring lagt til 27. juli 2023
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av et dokument kan føre til et skriptangrep mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Oppføring lagt til 27. juli 2023
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 259231
CVE-2023-37450: en anonym forsker
Oppføring lagt til 27. juli 2023
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Et nettsted kan omgå regelen for samme opprinnelse (Same Origin)
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – India
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: En ekstern angriper kan være i stand til å bryte seg ut av sandkassen Nettinnhold. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne fra Googles Threat Analysis Group og Donncha Ó Cearbhaill fra Amnesty Internationals Security Lab
WebKit
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Process Model
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) fra Cross Republic
WebKit Web Inspector
Tilgjengelig for: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generasjon), iPad Air 2, iPad mini (4. generasjon) og iPod touch (7. generasjon)
Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Ytterligere anerkjennelser
Vi vil gjerne takke Parvez Anwar for hjelpen.
Screenshots
Vi vil gjerne takke Eric Williams (@eric5310pub), Yannik Bloscheck (yannikbloscheck.com), Dametto Luca og Casati Jacopo for hjelpen.
Oppføring lagt til 8. september 2023
WebKit
Vi vil gjerne takke Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd. Pune – India for hjelpen.
Oppføring lagt til 27. juli 2023
WebRTC
Vi vil gjerne takke en anonym forsker for hjelpen.