Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
iOS 16
Lançado em 12 de setembro de 2022
Accelerate Framework
Disponível para: iPhone 8 e posterior
Impacto: processar uma imagem criada com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-42795: ryuzaki
Entrada adicionada em 27 de outubro de 2022
AppleAVD
Disponível para: iPhone 8 e posterior
Impacto: um app pode ser capaz de causar uma negação de serviço
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich do Google Project Zero e um pesquisador anônimo
Entrada adicionada em 27 de outubro de 2022
AppleAVD
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-32907: Natalie Silvanovich do Google Project Zero, Antonio Zekic (@antoniozekic) e John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Entrada adicionada em 27 de outubro de 2022
AppleMobileFileIntegrity
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada em 16 de março de 2023
Apple Neural Engine
Disponível para: iPhone 8 e posterior
Impacto: um app pode causar vazamento de estados confidenciais do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Entrada adicionada em 27 de outubro de 2022
Apple Neural Engine
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Entrada adicionada em 27 de outubro de 2022
Apple TV
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2022-32909: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 27 de outubro de 2022
Contacts
Disponível para: iPhone 8 e posterior
Impacto: um app pode ignorar as preferências de Privacidade
Descrição: este problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-32854: Holger Fuhrmannek da Deutsche Telekom Security
Crash Reporter
Disponível para: iPhone 8 e posterior
Impacto: um usuário com acesso físico a um dispositivo iOS pode ser capaz de ler registros de diagnóstico anteriores
Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.
CVE-2022-32867: Kshitij Kuma e Jai Musunuri da Crowdstrike
Entrada adicionada em 27 de outubro de 2022
DriverKit
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-32865: Linus Henze da Pinauten GmbH (pinauten.de)
Entrada adicionada em 27 de outubro de 2022
Exchange
Disponível para: iPhone 8 e posterior
Impacto: um usuário em uma posição de rede privilegiada pode ser capaz de interceptar credenciais de e-mail
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) da Check Point Research
Entrada adicionada em 27 de outubro de 2022 e atualizada em 16 de março de 2023
FaceTime
Disponível para: iPhone 8 e posterior
Impacto: um usuário pode enviar áudio e vídeo em chamadas do FaceTime sem saber que o fez
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-22643: Sonali Luthar, da Universidade da Virgínia, Michael Liao, da Universidade de Illinois em Urbana-Champaign, Rohan Pahwa, da Universidade Rutgers, e Bao Nguyen, da Universidade da Flórida
Entrada adicionada em 16 de março de 2023
GPU Drivers
Disponível para: iPhone 8 e posterior
Impacto: um app pode divulgar a memória do kernel
Descrição: vários problemas de gravação fora dos limites foram resolvidos por meio de melhorias na verificação de limites.
CVE-2022-32793: pesquisador anônimo
Entrada adicionada em 16 de março de 2023
GPU Drivers
Disponível para: iPhone 8 e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-26744: pesquisador anônimo
Entrada adicionada em 27 de outubro de 2022
GPU Drivers
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2022-32903: pesquisador anônimo
Entrada adicionada em 27 de outubro de 2022
ImageIO
Disponível para: iPhone 8 e posterior
Impacto: o processamento de uma imagem pode levar a uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação.
CVE-2022-1622
Entrada adicionada em 27 de outubro de 2022
Image Processing
Disponível para: iPhone 8 e posterior
Impacto: um app no modo sandbox pode ser capaz de identificar qual aplicativo está usando a câmera no momento
Descrição: o problema foi resolvido com restrições adicionais à capacidade de observação dos estados do app.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Entrada adicionada em 27 de outubro de 2022
IOGPUFamily
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-32887: pesquisador anônimo
Entrada adicionada em 27 de outubro de 2022
Kernel
Disponível para: iPhone 8 e posterior
Impacto: um app pode divulgar a memória do kernel
Descrição: havia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-32916: Pan ZhenPeng da STAR Labs SG Pte. Ltd.
Entrada adicionada em 9 de novembro de 2022
Kernel
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2022-32914: Zweig do Kunlun Lab
Entrada adicionada em 27 de outubro de 2022
Kernel
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-32866: Linus Henze da Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig do Kunlun Lab
Entrada atualizada em 27 de outubro de 2022
Kernel
Disponível para: iPhone 8 e posterior
Impacto: um app pode divulgar a memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2022-32864: Linus Henze da Pinauten GmbH (pinauten.de)
Kernel
Disponível para: iPhone 8 e posterior
Impacto: um aplicativo pode conseguir executar códigos arbitrários com privilégios de kernel.
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2022-32917: pesquisador anônimo
Maps
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir ler informações de localização confidenciais
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2022-32883: Ron Masas, breakpointhq.com
MediaLibrary
Disponível para: iPhone 8 e posterior
Impacto: um usuário pode conseguir elevar privilégios
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2022-32908: pesquisador anônimo
Notifications
Disponível para: iPhone 8 e posterior
Impacto: um usuário com acesso físico a um dispositivo pode conseguir acessar os contatos pela tela bloqueada
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-32879: Ubeydullah Sümer
Entrada adicionada em 27 de outubro de 2022
Photos
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.
CVE-2022-32918: Ashwani Rajput da Nagarro Software Pvt. Ltd, Srijan Shivam Mishra da The Hack Report, Jugal Goradia da Aastha Technologies, Evan Ricafort (evanricafort.com) da Invalid Web Security, Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125) e Amod Raghunath Patwardhan da Pune, Índia
Entrada adicionada em 27 de outubro de 2022 e atualizada em 16 de março de 2023
Safari
Disponível para: iPhone 8 e posterior
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2022-32795: Narendra Bhati da Suma Soft Pvt. Ltd. Pune (Índia) @imnarendrabhati
Safari Extensions
Disponível para: iPhone 8 e posterior
Impacto: um site pode conseguir rastrear usuários por meio das extensões da web do Safari
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Sandbox
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir modificar áreas protegidas do sistema de arquivos
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2022-32881: Csaba Fitzl (@theevilbit) da Offensive Security
Entrada adicionada em 27 de outubro de 2022
Security
Disponível para: iPhone 8 e posterior
Impacto: um app pode ser capaz de ignorar as verificações de assinatura de código
Descrição: um problema na validação da assinatura de códigos foi resolvido por meio de melhorias nas verificações.
CVE-2022-42793: Linus Henze da Pinauten GmbH (pinauten.de)
Entrada adicionada em 27 de outubro de 2022
Shortcuts
Disponível para: iPhone 8 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo iOS pode acessar fotos pela tela bloqueada
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2022-32872: Elite Tech Guru
Sidecar
Disponível para: iPhone 8 e posterior
Impacto: um usuário pode visualizar conteúdo restrito pela tela de bloqueio
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-42790: Om kothawade da Zaprico Digital
Entrada adicionada em 27 de outubro de 2022
Siri
Disponível para: iPhone 8 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo pode ser capaz de usar a Siri para obter acesso a informações de calendários privados
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2022-32871: Amit Prajapat da Payatu Security Consulting Private Limited
Entrada adicionada em 16 de março de 2023
Siri
Disponível para: iPhone 8 e posterior
Impacto: um usuário com acesso físico a um dispositivo pode ser capaz de usar a Siri para obter algumas informações do histórico de chamadas
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-32870: Andrew Goldberg da The McCombs School of Business, The University of Texas at Austin (linkedin.com/andrew-goldberg-/)
Entrada adicionada em 27 de outubro de 2022
Software Update
Disponível para: iPhone 8 e posterior
Impacto: um app pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.
CVE-2022-42791: Mickey Jin (@patch1t) da Trend Micro
Entrada adicionada em 9 de novembro de 2022
SQLite
Disponível para: iPhone 8 e posterior
Impacto: um usuário remoto podia causar uma negação de serviço
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2021-36690
Entrada adicionada em 27 de outubro de 2022
Time Zone
Disponível para: iPhone 8 e posterior
Impacto: os contatos apagados ainda podem aparecer nos resultados de busca do Spotlight
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-32859
Entrada adicionada em 27 de outubro de 2022
Watch app
Disponível para: iPhone 8 e posterior
Impacto: um app pode ler um identificador persistente de dispositivo
Descrição: esse problema foi resolvido por meio de melhorias nos direitos.
CVE-2022-32835: Guilherme Rambo da Best Buddy Apps (rambo.codes)
Entrada adicionada em 27 de outubro de 2022
Weather
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-32875: pesquisador anônimo
Entrada adicionada em 27 de outubro de 2022
WebKit
Disponível para: iPhone 8 e posterior
Impacto: um usuário não autorizado pode acessar o histórico de navegação
Descrição: existia um problema nos caminhos de arquivo usados para armazenar dados do site. O problema foi resolvido por meio da melhoria da forma como os dados do site são armazenados.
CVE-2022-32833: Csaba Fitzl (@theevilbit) da Offensive Security, Jeff Johnson
Entrada adicionada em 9 de novembro de 2022
WebKit
Disponível para: iPhone 8 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Entrada adicionada em 27 de outubro de 2022
WebKit
Disponível para: iPhone 8 e posterior
Impacto: acessar um site que enquadra conteúdo malicioso pode levar à falsificação da interface do usuário
Descrição: o problema foi resolvido por meio de melhorias no processamento da interface do usuário.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 e um pesquisador anônimo
Entrada adicionada em 27 de outubro de 2022
WebKit
Disponível para: iPhone 8 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Disponível para: iPhone 8 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) da Theori trabalhando com a Trend Micro Zero Day Initiative
WebKit Sandboxing
Disponível para: iPhone 8 e posterior
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de acesso foi resolvido por meio de melhorias na área restrita.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 e @jq0904 do DBAppSecurity's WeBin lab
Entrada adicionada em 27 de outubro de 2022
Wi-Fi
Disponível para: iPhone 8 e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2022-46709: Wang Yu da Cyberserval
Entrada adicionada em 16 de março de 2023
Wi-Fi
Disponível para: iPhone 8 e posterior
Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel
Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2022-32925: Wang Yu da Cyberserval
Entrada adicionada em 27 de outubro de 2022
Outros reconhecimentos
AirDrop
Gostaríamos de agradecer a Alexander Heinrich, Milan Stute e Christian Weinert da Universidade Técnica de Darmstadt pela ajuda.
Entrada adicionada em 27 de outubro de 2022
AppleCredentialManager
Gostaríamos de agradecer a @jonathandata1 pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Calendar UI
Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, pela ajuda.
Entrada adicionada em 27 de outubro de 2022
CoreGraphics
Gostaríamos de agradecer a Simon de Vegt pela ajuda.
Entrada adicionada em 9 de novembro de 2022
FaceTime
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Find My
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Game Center
Gostaríamos de agradecer a Joshua Jones pela ajuda.
iCloud
Gostaríamos de agradecer a Bülent Aytulun e um pesquisador anônimo pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Identity Services
Gostaríamos de agradecer a Joshua Jones pela ajuda.
Kernel
Gostaríamos de agradecer a Pan ZhenPeng (@Peterpan0927), Tingting Yin da Universidade de Tsinghua, Min Zheng do Ant Group e um pesquisador anônimo pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Notes
Gostaríamos de agradecer a Edward Riley da Iron Cloud Limited (ironclouduk.com) pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Photo Booth
Gostaríamos de agradecer a Prashanth Kannan da Dremio pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Safari
Gostaríamos de agradecer a Scott Hatfield do Sub-Zero Group pela ajuda.
Entrada adicionada em 16 de março de 2023
Sandbox
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) da Offensive Security pela ajuda.
Entrada adicionada em 27 de outubro de 2022
Shortcuts
Gostaríamos de agradecer a Shay Dror pela ajuda.
Entrada adicionada em 27 de outubro de 2022
SOS
Gostaríamos de agradecer a Xianfeng Lu e Lei Ai do OPPO Amber Security Lab pela ajuda.
Entrada adicionada em 27 de outubro de 2022
UIKit
Gostaríamos de agradecer a Aleczander Ewing, Simon de Vegt e um pesquisador anônimo pela ajuda.
Entrada adicionada em 27 de outubro de 2022
WebKit
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
Entrada adicionada em 27 de outubro de 2022
WebRTC
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
Entrada adicionada em 27 de outubro de 2022