Acerca dos conteúdos de segurança do iOS 16.7.3 e iPadOS 16.7.3

Este documento descreve os conteúdos de segurança do iOS 16.7.3 e do iPadOS 16.7.3.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

iOS 16.7.3 e iPadOS 16.7.3

Accounts

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2023-42919: Kirin (@Pwnrin)

Assets

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: foi resolvido um problema através do processamento melhorado de ficheiros temporários.

CVE-2023-42896: Mickey Jin (@patch1t)

AVEVideoEncoder

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: uma app poderá conseguir divulgar a memória do kernel

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2023-42884: investigador anónimo

CallKit

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: um atacante remoto poderá conseguir causar uma recusa de serviço

Descrição: este problema foi resolvido através de verificações melhoradas

VE-2023-42962: Aymane Chabat

Find My

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: uma app poderá conseguir ler informações confidenciais de localização

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2023-42922: Wojciech Regula da SecuRing (wojciechregula.blog)

ImageIO

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: o processamento de uma imagem poderá provocar a execução de um código arbitrário

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2023-42899: Meysam Firouzi @R00tkitSMM e Junsung Lee

IOUSBDeviceFamily

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvida uma condição de disputa através do processamento melhorado do estado.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) da STAR Labs SG Pte. Ltd.

Kernel

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: uma app poderá conseguir infringir a sandbox

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) da Synacktiv (@Synacktiv)

Libsystem

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: uma app poderá conseguir aceder a dados do utilizador protegidos

Descrição: foi resolvido um problema de permissões através da remoção do código vulnerável e da adição de verificações adicionais.

CVE-2023-42893

WebKit

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: o processamento de uma imagem pode resultar numa recusa de serviço

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2023-42883: Equipa de segurança da Zoom Offensive

WebKit

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: o processamento de conteúdos web poderá provocar a execução de um código arbitrário. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado contra versões do iOS anteriores ao iOS 16.7.1.

Descrição: foi resolvido um problema de vulnerabilidade de corrupção da memória através do bloqueio melhorado.

CVE-2023-42917: Clément Lecigne do Grupo de Análise de Ameaças da Google

WebKit

Disponível para: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5.ª geração), iPad Pro de 9,7 polegadas e iPad Pro de 12,9 polegadas (1.ª geração)

Impacto: o processamento de conteúdos web poderá divulgar informações confidenciais. A Apple tem conhecimento de uma denúncia de que este problema pode ter sido explorado contra versões do iOS anteriores ao iOS 16.7.1.

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2023-42916: Clément Lecigne do Grupo de Análise de Ameaças da Google