Om sikkerhetsinnholdet i iOS 17.1 og iPadOS 17.1

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 17.1 og iPadOS 17.1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsoppdateringer.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

iOS 17.1 og iPadOS 17.1

Utgitt 25. oktober 2023

Contacts

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-41072: Wojciech Regula fra SecuRing (wojciechregula.blog) og Csaba Fitzl (@theevilbit) fra Offensive Security

CVE-2023-42857: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)

CoreAnimation

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan være i stand til å forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-40449: Tomi Tokics (@tomitokics) fra iTomsn0w

Find My

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.

CVE-2023-40413: Adam M.

ImageIO

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av bilder kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-40416: JZ

IOTextEncryptionFamily

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-40423: en anonym forsker

Kernel

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan være i stand til å forbigå skadebegrensende tiltak for kjerneminnet

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-42849: Linus Henze fra Pinauten GmbH (pinauten.de)

Mail Drafts

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Skjul e-postadressen min kan deaktiveres uventet

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En enhet kan bli sporet passivt ved bruk av MAC-adressen for Wi-Fi

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2023-42846: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. @mysk_co

Passkeys

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper kan få tilgang til passnøkler uten autentisering

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2023-42847: en anonym forsker

Photos

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Bilder i Skjulte bilder-albumet kan være tilgjengelige uten autentisering

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2023-42845: Bistrit Dahla

Pro Res

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu og Guang Gong fra 360 Vulnerability Research Institute

Siri

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper med fysisk tilgang kan bruke Siri for å få tilgang til sensitive brukerdata

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2023-41982: Bistrit Dahla

CVE-2023-41997: Bistrit Dahla

CVE-2023-41988: Bistrit Dahla

Status Bar

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Enheten kan ha vedvarende problemer med låsing

Problemet ble løst gjennom forbedret håndtering av grensesnittet.

CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, en anonym forsker, Lorenzo Cavallaro og Harry Lewandowski

Weather

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2023-41254: Cristian Dinca fra «Tudor Vianu» National High School of Computer Science, Romania

WebKit

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) fra Cross Republic

WebKit

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

WebKit Bugzilla: 260173
CVE-2023-42852: en anonym forsker

WebKit Process Model

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

Ytterligere anerkjennelser

libarchive

Vi vil gjerne takke Bahaa Naamneh for hjelpen.

libxml2

Vi vil gjerne takke OSS-Fuzz, Ned Williamson fra Google Project Zero for hjelpen.

Power Manager

Vi vil gjerne takke Xia0o0o0o (@Nyaaaaa_ovo) fra University of California, San Diego for hjelpen.

VoiceOver

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal India for hjelpen.

WebKit

Vi vil gjerne takke en anonym forsker for hjelpen.

 

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: