Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 16.7 og iPadOS 16.7
Utgitt 21. september 2023
App Store
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En ekstern angriper kan være i stand til å bryte seg ut av sandkassen Nettinnhold
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av protokoller.
CVE-2023-40448: w0wbox
Oppføring lagt til 26. september 2023
Ask to Buy
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-38612: Chris Ross (Zoom)
Oppføring lagt til 22. desember 2023
Biometric Authentication
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2023-41232: Liang Wei fra PixiePoint Security
Oppføring lagt til 26. september 2023
CoreAnimation
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40420: 이준성(Junsung Lee) fra Cross Republic
Oppføring lagt til 26. september 2023
Core Image
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til redigerte bilder som er lagret i en midlertidig mappe
Beskrivelse: Et problem ble løst gjennom forbedret behandling av midlertidige filer.
CVE-2023-40438: Wojciech Regula fra SecuRing (wojciechregula.blog)
Oppføring lagt til 22. desember 2023
Game Center
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til kontakter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2023-40395: Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 26. september 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
Oppføring lagt til 26. september 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan være i stand til å forbigå skadebegrensende tiltak for kjerneminnet
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-41981: Linus Henze fra Pinauten GmbH (pinauten.de)
Oppføring lagt til 26. september 2023
Kernel
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS før iOS 16.7.
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-41992: Bill Marczak fra The Citizen Lab hos The University of Torontos Munk School og Maddie Stone fra Googles Threat Analysis Group
libxpc
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Et program kan kanskje få tilgang til beskyttede brukerdata
Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2023-41073: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Oppføring lagt til 26. september 2023
libxpc
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å slette filer som det ikke har tillatelse til
Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.
CVE-2023-40454: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Oppføring lagt til 26. september 2023
libxslt
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til avsløring av sensitive opplysninger
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) fra PK Security
Oppføring lagt til 26. september 2023
MobileStorageMounter
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En bruker kan være i stand til å utvide rettigheter
Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.
CVE-2023-41068: Mickey Jin (@patch1t)
Oppføring lagt til 26. september 2023
Passkeys
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En angriper kan få tilgang til passnøkler uten autentisering
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2023-40401: en anonym forsker og weize she
Oppføring lagt til 22. desember 2023
Pro Res
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2023-41063: Certik Skyfall Team
Oppføring lagt til 26. september 2023
Safari
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan være i stand til å identifisere hvilke andre apper en bruker har installert
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2023-35990: Adriatik Raci fra Sentry Cybersecurity
Oppføring lagt til 26. september 2023
Security
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Et skadelig program kan være i stand til å omgå signaturvalidering. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS før iOS 16.7.
Beskrivelse: Et problem med validering av sertifikater ble løst.
CVE-2023-41991: Bill Marczak fra The Citizen Lab hos The University of Torontos Munk School og Maddie Stone fra Googles Threat Analysis Group
Share Sheet
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: En app kan få tilgang til sensitive brukerdata som loggføres når en bruker deler en kobling
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2023-41070: Kirin (@Pwnrin)
Oppføring lagt til 26. september 2023
WebKit
Tilgjengelig for: iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air (3. generasjon og nyere), iPad (5. generasjon og nyere) og iPad mini (5. generasjon og nyere)
Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode. Apple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS før iOS 16.7.
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak fra The Citizen Lab hos The University of Torontos Munk School og Maddie Stone fra Googles Threat Analysis Group
Ytterligere anerkjennelser
Apple Neural Engine
Vi vil gjerne takke pattern-f (@pattern_F_) fra Ant Security Light-Year Lab for hjelpen.
Oppføring lagt til 22. desember 2023
AppSandbox
Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.
Oppføring lagt til 26. september 2023
libxml2
Vi vil gjerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjelpen.
Oppføring lagt til 26. september 2023
Kernel
Vi vil gjerne takke Bill Marczak fra The Citizen Lab hos The University of Torontos Munk School og Maddie Stone fra Googles Threat Analysis Group for hjelpen.
WebKit
Vi vil gjerne takke Khiem Tran og Narendra Bhati fra Suma Soft Pvt. Ltd. Pune (India) for hjelpen.
Oppføring lagt til 26. september 2023
WebRTC
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 26. september 2023