Despre conținutul de securitate din iOS 16.7.2 și iPadOS 16.7.2
Acest document descrie conținutul de securitate din iOS 16.7.2 și iPadOS 16.7.2.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
iOS 16.7.2 și iPadOS 16.7.2
Lansare: 25 octombrie 2023
CoreAnimation
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)
Core Recents
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: problema a fost rezolvată prin curățarea înregistrărilor
CVE-2023-42823
Intrare adăugată la 16 februarie 2024
Find My
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-40413: Adam M.
ImageIO
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40416: JZ
ImageIO
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza alterarea segmentului
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-42848: JZ
Intrare adăugată la 16 februarie 2024
IOTextEncryptionFamily
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40423: un cercetător anonim
Kernel
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)
libc
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: procesarea de date introduse create cu rea intenție poate duce la executarea unui cod arbitrar la aplicațiile instalate de utilizator
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-40446: inooo
Intrare adăugată la 3 noiembrie 2023
libxpc
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.
CVE-2023-42942: Mickey Jin (@patch1t)
Intrare adăugată la 16 februarie 2024
Mail Drafts
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: opțiunea Mascare e-mail poate fi dezactivată în mod neașteptat
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv după adresa sa MAC Wi-Fi
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42846: Talal Haj Bakry și Tommy Mysk de la Mysk Inc. @mysk_co
Pro Res
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu și Guang Gong (360 Vulnerability Research Institute)
Pro Res
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu și Guang Gong (360 Vulnerability Research Institute)
Intrare adăugată la 16 februarie 2024
Safari
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: accesarea unui site web rău intenționat poate dezvălui istoricul de navigare
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-41977: Alex Renda
Siri
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Intrare actualizată pe 16 februarie 2024
Weather
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea redactării datelor private pentru intrările în jurnal.
CVE-2023-41254: Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România
WebKit
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: parola unui utilizator poate fi citită cu voce tare de VoiceOver
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) (Cross Republic)
WebKit
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) și Vitor Pedreira (@0xvhp_) de la Agile Information Security
Intrare actualizată pe 16 februarie 2024
WebKit
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Intrare adăugată la 16 februarie 2024
WebKit Process Model
Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Alte mențiuni
libxml2
Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistență.
libarchive
Dorim să-i mulțumim lui Bahaa Naamneh pentru asistența acordată.
WebKit
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
WebKit
Dorim să îi mulțumim lui Gishan Don Ranasinghe și unui cercetător anonim pentru asistența acordată.
Intrare adăugată la 16 februarie 2024
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.