Zawartość związana z zabezpieczeniami w systemach iOS 17 i iPadOS 17
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 17 i iPadOS 17.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
iOS 17 i iPadOS 17
Wydano 18 września 2023 r.
Accessibility
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba z fizycznym dostępem do urządzenia może być w stanie użyć funkcji VoiceOver w celu uzyskania dostępu do informacji w kalendarzu prywatnym.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-40529: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal
Wpis dodano 22 grudnia 2023 r.
AirPort
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z uprawnieniami przez poprawienie redagowania poufnych informacji.
CVE-2023-40384: Adam M.
App Store
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca zdalnie może być w stanie wydostać się z piaskownicy zawartości internetowej.
Opis: ten problem rozwiązano przez ulepszenie obsługi protokołów.
CVE-2023-40448: w0wbox
Apple Neural Engine
Dostępne dla urządzeń z układem Apple Neural Engine: iPhone’a XS i nowszych, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 8. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40432: Mohamed GHANNAM (@_simo36)
CVE-2023-41174: Mohamed GHANNAM (@_simo36)
CVE-2023-40409: Ye Zhang (@VAR10CK) z Baidu Security
CVE-2023-40412: Mohamed GHANNAM (@_simo36)
CVE-2023-42871: Mohamed GHANNAM (@_simo36)
Wpis uaktualniono 22 grudnia 2023 r.
Apple Neural Engine
Dostępne dla urządzeń z układem Apple Neural Engine: iPhone’a XS i nowszych, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 8. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2023-41071: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Dostępne dla urządzeń z układem Apple Neural Engine: iPhone’a XS i nowszych, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 8. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40399: Mohamed GHANNAM (@_simo36)
Apple Neural Engine
Dostępne dla urządzeń z układem Apple Neural Engine: iPhone’a XS i nowszych, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 8. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-40410: Tim Michaud (@TimGMichaud) z Moveworks.ai
AppleMobileFileIntegrity
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.
CVE-2023-42872: Mickey Jin (@patch1t)
Wpis dodano 22 grudnia 2023 r.
AppSandbox
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do załączników w aplikacji Notatki.
Opis: ten błąd naprawiono przez ulepszenie ograniczenia dostępu do kontenera danych.
CVE-2023-42925: Wojciech Reguła (@_r3ggi) i Kirin (@Pwnrin)
Wpis dodano 16 lipca 2024 r.
Ask to Buy
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-38612: Chris Ross (Zoom)
Wpis dodano 22 grudnia 2023 r.
AuthKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-32361: Csaba Fitzl (@theevilbit) z Offensive Security
Biometric Authentication
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2023-41232: Liang Wei z PixiePoint Security
Bluetooth
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca znajdująca się w bliskiej odległości może spowodować ograniczony zapis poza dozwolonym zakresem.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-35984: zer0k
bootp
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-41065: Adam M. i Noah Roskin-Frazee oraz profesor Jason Lau (ZeroClicks.ai Lab)
CFNetwork
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może nie egzekwować wymogów standardu dotyczącego bezpieczeństwa transportu danych z aplikacji.
Opis: ten problem rozwiązano przez poprawienie obsługi protokołów.
CVE-2023-38596: Will Brattain z Trail of Bits
CoreAnimation
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40420: 이준성(Junsung Lee) z Cross Republic
Core Data
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-40528: Kirin (@Pwnrin) z NorthSea
Wpis dodano 22 stycznia 2024 r.
Dev Tools
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2023-32396: Mickey Jin (@patch1t)
Face ID
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych i iPada Pro 11 cali 1. generacji i nowszych
Zagrożenie: model 3D wyglądający jak zarejestrowany użytkownik może uwierzytelnić się za pomocą Face ID.
Opis: ten problem rozwiązano przez ulepszenie modeli ochrony przed podszywaniem się w funkcji Face ID.
CVE-2023-41069: Zhice Yang (ShanghaiTech University)
Wpis dodano 22 grudnia 2023 r.
FileProvider
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-41980: Noah Roskin-Frazee i profesor Jason Lau (ZeroClicks.ai Lab)
Game Center
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może mieć dostęp do kontaktów.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-40395: Csaba Fitzl (@theevilbit) z Offensive Security
GPU Drivers
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40431: Certik Skyfall Team
GPU Drivers
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40391: Antonio Zekic (@antoniozekic) z Dataflow Security
GPU Drivers
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd powodujący wyczerpanie pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2023-40441: Ron Masas z Imperva
iCloud Photo Library
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do biblioteki zdjęć użytkownika.
Opis: naprawiono błąd konfiguracji przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-40434: Mikko Kenttälä (@Turmio_) z SensorFu
IOUserEthernet
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40396: Certik Skyfall Team
Wpis dodano 16 lipca 2024 r.
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2023-41995: Certik Skyfall Team, pattern-f (@pattern_F_) z Ant Security Light-Year Lab
CVE-2023-42870: Zweig z Kunlun Lab
CVE-2023-41974: Félix Poulin-Bélanger
Wpis uaktualniono 22 grudnia 2023 r.
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca, która zaimplementowała już wykonywanie kodu jądra, może być w stanie ominąć środki ograniczające pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-41981: Linus Henze z Pinauten GmbH (pinauten.de)
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.
CVE-2023-40429: Michael (Biscuit) Thomas i 张师傅(@京东蓝军)
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: zdalny użytkownik może być w stanie doprowadzić do wykonania kodu jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
CVE-2023-41060: Joseph Ravichandran (@0xjprx) z MIT CSAIL
Wpis dodano 22 grudnia 2023 r.
libpcap
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2023-40400: Sei K.
libxpc
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie usunąć pliki, do których nie ma uprawnień.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-40454: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)
libxpc
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.
Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.
CVE-2023-41073: Zhipeng Huo (@R3dF09) z Tencent Security Xuanwu Lab (xlab.tencent.com)
libxslt
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może ujawnić poufne informacje.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) z PK Security
Maps
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-40427: Adam M. i Wojciech Reguła z SecuRing (wojciechregula.blog)
Maps
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2023-42957: Adam M. i Ron Masas z BreakPoint Security Research
Wpis dodano 16 lipca 2024 r.
MobileStorageMounter
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
CVE-2023-41068: Mickey Jin (@patch1t)
Music
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-41986: Gergely Kalman (@gergely_kalman)
Passkeys
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: atakujący może być w stanie uzyskać dostęp do kluczy bez uwierzytelnienia.
Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.
CVE-2023-40401: weize she i anonimowy badacz
Wpis dodano 22 grudnia 2023 r.
Photos
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do edytowanych zdjęć zachowanych w katalogu tymczasowym.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2023-42949: Kirin (@Pwnrin)
Wpis dodano 16 lipca 2024 r.
Photos Storage
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do edytowanych zdjęć zachowanych w katalogu tymczasowym.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-40456: Kirin (@Pwnrin)
CVE-2023-40520: Kirin (@Pwnrin)
Photos Storage
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja z uprawnieniami administratora może uzyskać dostęp do prywatnych informacji.
Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-42934: Wojciech Reguła z SecuRing (wojciechregula.blog)
Wpis dodano 22 grudnia 2023 r.
Pro Res
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-41063: Certik Skyfall Team
QuartzCore
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-40422: Tomi Tokics (@tomitokics) z iTomsn0w
Wpis dodano 22 grudnia 2023 r.
Safari
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie określić, jakie inne aplikacje zostały zainstalowane przez użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-35990: Adriatik Raci z Sentry Cybersecurity
Safari
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: wyświetlenie strony zawierającej ramki prezentujące złośliwą zawartość może doprowadzić do podszycia się pod interfejs użytkownika.
Opis: naprawiono błąd zarządzania oknami przez poprawienie procedury zarządzania stanem.
CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) z Suma Soft Pvt. Ltd, Pune (India).
Wpis uaktualniono 16 lipca 2024 r.
Sandbox
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie nadpisywać arbitralnie wybrane pliki.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)
Share Sheet
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych zarejestrowanych, gdy użytkownik udostępnia łącze.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2023-41070: Kirin (@Pwnrin)
Simulator
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-40419: Arsenii Kostromin (0x3c3e)
Siri
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2023-40428: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal
StorageKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie odczytywać arbitralnie wybrane pliki.
Opis: ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2023-41968: Mickey Jin (@patch1t) i James Hutchins
TCC
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) i Csaba Fitzl (@theevilbit) z Offensive Security
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) i Dohyun Lee (@l33d0hyun) z PK Security
WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)
Wpis uaktualniono 22 grudnia 2023 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) z Cross Republic and Jie Ding(@Lime) z HKUS3 Lab
Wpis uaktualniono 22 grudnia 2023 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) i Jong Seong Kim (@nevul37) z AbyssLab oraz zhunki
Wpis uaktualniono 22 stycznia 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: VoiceOver może odczytać hasło użytkownika na głos.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
Wpis dodano 22 grudnia 2023 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca zdalnie może być w stanie wyświetlić wyciek zapytań DNS mimo włączonej funkcji Przekazywanie prywatne.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
WebKit Bugzilla: 257303
CVE-2023-40385: anonimowy
Wpis dodano 22 grudnia 2023 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: rozwiązano problem dotyczący poprawności przez poprawienie procedur sprawdzania.
WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) i Jong Seong Kim (@nevul37) z AbyssLab
Wpis dodano 22 grudnia 2023 r.
Wi-Fi
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2023-38610: Wang Yu z Cyberserval
Wpis dodano 22 grudnia 2023 r.
Dodatkowe podziękowania
Accessibility
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.
Wpis uaktualniono 16 lipca 2024 r.
Airport
Dziękujemy za udzieloną pomoc: Adam M., Noah Roskin-Frazee i profesor Jason Lau (ZeroClicks.ai Lab).
Apple Neural Engine
Dziękujemy za udzieloną pomoc: pattern-f (@pattern_F_) z Ant Security Light-Year Lab.
Wpis dodano 22 grudnia 2023 r.
AppSandbox
Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin).
Audio
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Bluetooth
Dziękujemy za udzieloną pomoc: Jianjun Dai i Guang Gong z 360 Vulnerability Research Institute.
Books
Dziękujemy za udzieloną pomoc: Aapo Oksman z Nixu Cybersecurity.
Control Center
Dziękujemy za udzieloną pomoc: Chester van den Bogaard.
CoreMedia Playback
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Data Detectors UI
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Draco
Dziękujemy za udzieloną pomoc: David Coomber.
Find My
Dziękujemy za udzieloną pomoc: Cher Scarlett.
Home
Dziękujemy za udzieloną pomoc: Jake Derouin (jakederouin.com).
IOUserEthernet
Dziękujemy za udzieloną pomoc: Certik Skyfall Team.
Wpis dodano 22 grudnia 2023 r.
Kernel
Dziękujemy za udzieloną pomoc: Bill Marczak z The Citizen Lab z siedzibą w Munk School działającej w ramach Uniwersytetu Toronto, Maddie Stone z Threat Analysis Group firmy Google oraz 永超 王.
Keyboard
Dziękujemy anonimowemu badaczowi za pomoc.
libxml2
Dziękujemy za udzieloną pomoc: OSS-Fuzz i Ned Williamson z Google Project Zero.
libxpc
Dziękujemy anonimowemu badaczowi za pomoc.
libxslt
Dziękujemy za udzieloną pomoc: Dohyun Lee (@l33d0hyun) z PK Security, OSS-Fuzz oraz Ned Williamson z Google Project Zero.
Menu
Dziękujemy za udzieloną pomoc: Matthew Denton z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
Wpis dodano 22 grudnia 2023 r.
Notes
Dziękujemy za udzieloną pomoc: Lucas-Raphael Müller.
Notifications
Dziękujemy za udzieloną pomoc: Jiaxu Li.
NSURL
Dziękujemy za udzieloną pomoc: Zhanpeng Zhao (行之) i 糖豆爸爸(@晴天组织).
Password Manager
Dziękujemy za udzieloną pomoc: Hidetoshi Nakamura.
Photos
Dziękujemy za udzieloną pomoc: Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius i Paul Lurin.
Wpis uaktualniono 16 lipca 2024 r.
Power Services
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Quick Look
Dziękujemy za udzieloną pomoc: 이준성(Junsung Lee) z Cross Republic.
Wpis dodano 22 grudnia 2023 r.
Safari
Dziękujemy za udzieloną pomoc: Kang Ali z Punggawa Cyber Security oraz andrew James gonzalez.
Safari Private Browsing
Dziękujemy za udzieloną pomoc: Khiem Tran, Narendra Bhati z Suma Soft Pvt. Ltd. oraz anonimowy badacz.
Shortcuts
Dziękujemy za udzieloną pomoc: Alfie CG, Christian Basting z Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca z Tudor Vianu National High School of Computer Science, Rumunia, Giorgos Christodoulidis, Jubaer Alnazi z TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) oraz Matthew Butler.
Wpis uaktualniono 24 kwietnia 2024 r.
Siri
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Software Update
Dziękujemy za udzieloną pomoc: Omar Siman.
Spotlight
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal oraz Dawid Pałuska.
Standby
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Status Bar
Dziękujemy za udzieloną pomoc: N i anonimowy badacz.
StorageKit
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Weather
Dziękujemy za udzieloną pomoc: Wojciech Reguła z SecuRing (wojciechregula.blog).
Wpis dodano 22 grudnia 2023 r.
WebKit
Dziękujemy za udzieloną pomoc: Khiem Tran, Narendra Bhati z Suma Soft Pvt. Ltd. oraz anonimowy badacz.
WebRTC
Dziękujemy anonimowemu badaczowi za pomoc.
Wi-Fi
Dziękujemy za udzieloną pomoc: Wang Yu z Cyberserval.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.