Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
iOS 16.7.2 e iPadOS 16.7.2
Lançado em 25 de outubro de 2023
CoreAnimation
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um app pode ser capaz de causar uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40449: Tomi Tokics (@tomitokics) da iTomsn0w
Core Recents
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido pela sanitização do registro
CVE-2023-42823
Entrada adicionada em 16 de fevereiro de 2024
Find My
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-40413: Adam M.
ImageIO
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: processar uma imagem pode resultar na divulgação da memória de processamento
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40416: JZ
ImageIO
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: processar uma imagem criada com códigos maliciosos pode causar o corrompimento da pilha
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2023-42848: JZ
Entrada adicionada em 16 de fevereiro de 2024
IOTextEncryptionFamily
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40423: um pesquisador anônimo
Kernel
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um invasor que já conseguiu a execução do código do kernel pode ignorar as reduções da memória do kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-42849: Linus Henze da Pinauten GmbH (pinauten.de)
libc
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: processar uma entrada criada com códigos maliciosos pode resultar na execução arbitrária de códigos nos app instalados pelo usuário
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-40446: inooo
Entrada adicionada em 3 de novembro de 2023
libxpc
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um app malicioso pode obter privilégios de raiz
Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.
CVE-2023-42942: Mickey Jin (@patch1t)
Entrada adicionada em 16 de fevereiro de 2024
Mail Drafts
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: o recurso Ocultar Meu E-mail pode ser desativado inesperadamente
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um dispositivo pode ser rastreado passivamente pelo endereço MAC do Wi-Fi
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2023-42846: Talal Haj Bakry e Tommy Mysk da Mysk Inc. @mysk_co
Pro Res
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute
Pro Res
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute
Entrada adicionada em 16 de fevereiro de 2024
Safari
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: acessar um site mal-intencionado poderia revelar o histórico de navegação
Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.
CVE-2023-41977: Alex Renda
Siri
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Entrada atualizada em 16 de fevereiro de 2024
Weather
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2023-41254: Cristian Dinca da Tudor Vianu National High School of Computer Science, Romênia
WebKit
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: a senha de um usuário pode ser lida em voz alta pelo VoiceOver
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: o processamento de conteúdo da web pode causar a execução arbitrária de códigos
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) da Cross Republic
WebKit
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) e Vitor Pedreira (@0xvhp_) da Agile Information Security
Entrada atualizada em 16 de fevereiro de 2024
WebKit
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Entrada adicionada em 16 de fevereiro de 2024
WebKit Process Model
Disponível para: iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air (3ª geração) e posterior, iPad (5ª geração) e posterior e iPad mini (5ª geração) e posterior
Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Outros reconhecimentos
libxml2
Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.
libarchive
Gostaríamos de agradecer a Bahaa Naamneh pela ajuda.
WebKit
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
WebKit
Gostaríamos de agradecer a Gishan Don Ranasinghe e a um pesquisador anônimo pela ajuda.
Entrada adicionada em 16 de fevereiro de 2024