Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
iOS 16.7.3 i iPadOS 16.7.3
Wydano 11 grudnia 2023 r.
Accounts
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: rozwiązano problem przez ulepszenie obsługi plików tymczasowych.
CVE-2023-42896: Mickey Jin (@patch1t)
Wpis dodano 22 marca 2024 r.
AVEVideoEncoder
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-42884: anonimowy badacz
CallKit
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: ten błąd naprawiono przez poprawienie sprawdzania
CVE-2023-42962: Aymane Chabat
Wpis dodano 22 marca 2024 r.
Find My
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2023-42922: Wojciech Regula z SecuRing (wojciechregula.blog)
ImageIO
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: przetworzenie obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-42899: Meysam Firouzi @R00tkitSMM i Junsung Lee
IOUSBDeviceFamily
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Wpis dodano 22 marca 2024 r.
Kernel
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) z Synacktiv (@Synacktiv)
Libsystem
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.
Opis: naprawiono błąd uprawnień przez usunięcie kodu związanego z luką w zabezpieczeniach i wprowadzenie dodatkowych procedur sprawdzania.
CVE-2023-42893
Wpis dodano 22 marca 2024 r.
WebKit
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: przetwarzanie zawartości internetowej mogło spowodować wykonanie dowolnego kodu. Apple ma świadomość, że problem mógł być wykorzystany w atakach na systemy iOS wydane przed systemem iOS 16.7.1.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
WebKit Bugzilla: 265067
CVE-2023-42917: Clément Lecigne z Threat Analysis Group firmy Google
WebKit
Dostępne dla: iPhone’a 8, iPhone’a 8 Plus, iPhone’a X, iPada 5. generacji, iPada Pro 9,7 cala i iPada Pro 12,9 cala 1. generacji
Zagrożenie: przetworzenie zawartości internetowej może ujawnić poufne informacje. Apple ma świadomość, że problem mógł być wykorzystany w atakach na systemy iOS wydane przed systemem iOS 16.7.1.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 265041
CVE-2023-42916: Clément Lecigne z Threat Analysis Group firmy Google
*