Despre conținutul de securitate din iOS 17 și din iPadOS 17

Acest document descrie conținutul de securitate din iOS 17 și din iPadOS 17.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

iOS 17 și iPadOS 17

Accessibility

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o persoană cu acces fizic la un dispozitiv poate folosi VoiceOver pentru a accesa informații private din calendar

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-40529: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal)

AirPort

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă legată de permisiuni a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-40384: Adam M.

App Store

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator la distanță poate evada din sandboxul Web Content

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a protocoalelor.

CVE-2023-40448: w0wbox

Apple Neural Engine

Disponibilitate pentru dispozitivele cu Apple Neural Engine: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 8-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Disponibilitate pentru dispozitivele cu Apple Neural Engine: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 8-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Disponibilitate pentru dispozitivele cu Apple Neural Engine: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 8-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Disponibilitate pentru dispozitivele cu Apple Neural Engine: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 3-a generație și modele ulterioare), iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 8-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)

AppleMobileFileIntegrity

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.

CVE-2023-42872: Mickey Jin (@patch1t)

AppSandbox

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate accesa atașamente din aplicația Notițe

Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date

CVE-2023-42925: Wojciech Reguła (@_r3ggi) și Kirin (@Pwnrin)

Ask to Buy

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-38612: Chris Ross (Zoom)

AuthKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-32361: Csaba Fitzl (@theevilbit) (Offensive Security)

Biometric Authentication

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2023-41232: Liang Wei (PixiePoint Security)

Bluetooth

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator din apropiere poate devia scrierea într-o măsură limitată

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-35984: zer0k

bootp

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-41065: Adam M., respectiv Noah Roskin-Frazee și prof. Jason Lau (ZeroClicks.ai Lab)

CFNetwork

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: este posibil ca o aplicație să nu poată executa funcția App Transport Security

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a protocoalelor.

CVE-2023-38596: Will Brattain (Trail of Bits)

CoreAnimation

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)

Core Data

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-40528: Kirin (@Pwnrin) (NorthSea)

Dev Tools

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2023-32396: Mickey Jin (@patch1t)

Face ID

Disponibil pentru: iPhone XS și modele ulterioare, iPad Pro de 12,9 inchi a 2-a generație și modelele ulterioare și iPad Pro de 11 inchi prima generație și modelele ulterioare

Impact: un model 3D creat astfel încât să arate ca utilizatorul înregistrat se poate autentifica prin intermediul Face ID

Descriere: problema a fost rezolvată prin îmbunătățirea modelelor de Face ID cu tehnologie anti-falsificare.

CVE-2023-41069: Zhice Yang (ShanghaiTech University)

FileProvider

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-41980: Noah Roskin-Frazee și profesorul Jason Lau (Laboratorul ZeroClicks.ai)

Game Center

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: este posibil ca o aplicație să poată accesa contactele

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40395: Csaba Fitzl (@theevilbit) (Offensive Security)

GPU Drivers

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40431: Certik Skyfall Team

GPU Drivers

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40391: Antonio Zekic (@antoniozekic) de la Dataflow Security

GPU Drivers

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: a fost rezolvată o problemă de epuizare a memoriei prin îmbunătățirea validării intrării.

CVE-2023-40441: Ron Masas (Imperva)

iCloud Photo Library

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate accesa Biblioteca foto a unui utilizator

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2023-40434: Mikko Kenttälä (@Turmio_ ) (SensorFu)

IOUserEthernet

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40396: echipa Skyfall de la Certik

Kernel

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-41995: Certik Skyfall Team, pattern-f (@pattern_F_) (Laboratorul Ant Security Light-Year)

CVE-2023-42870: Zweig (Kunlun Lab)

CVE-2023-41974: Félix Poulin-Bélanger

Kernel

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)

Kernel

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) de la STAR Labs SG Pte. Ltd.

Kernel

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.

CVE-2023-40429: Michael (Biscuit) Thomas și 张师傅(@京东蓝军)

Kernel

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un utilizator la distanță poate cauza executarea codului kernel

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea verificărilor.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

libpcap

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un utilizator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2023-40400: Sei K.

libxpc

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate șterge fișiere pentru care nu are permisiune

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-40454: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)

libxpc

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-41073: Zhipeng Huo (@R3dF09) (Laboratorul Tencent Security Xuanwu) (xlab.tencent.com)

libxslt

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea conținutului web poate divulga informații sensibile

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)

Maps

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40427: Adam M. și Wojciech Regula (SecuRing) (wojciechregula.blog)

Maps

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2023-42957: Adam M. și Ron Masas de la BreakPoint Security Research

MobileStorageMounter

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un utilizator poate să acorde privilegii superioare

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru acces.

CVE-2023-41068: Mickey Jin (@patch1t)

Music

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

Passkeys

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator poate avea acces la cheile de logare fără autentificare

Descriere: problema a fost remediată prin verificări suplimentare ale permisiunilor.

CVE-2023-40401: weize she și un cercetător anonim

Photos

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate accesa poze editate salvate într-un director temporar

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2023-42949: Kirin (@Pwnrin)

Photos Storage

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate accesa poze editate salvate într-un director temporar

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Photos Storage

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație cu privilegii de rădăcină poate accesa informații private

Descriere: o problemă de divulgare a informațiilor a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-42934: Wojciech Regula (SecuRing) (wojciechregula.blog)

Pro Res

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40422: Tomi Tokics (@tomitokics) (iTomsn0w)

Safari

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate identifica ce alte aplicații a instalat utilizatorul

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-35990: Adriatik Raci (Sentry Cybersecurity)

Safari

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: vizitarea unui site web care conține conținut rău intenționat poate duce la falsificarea interfeței de utilizator

Descriere: a fost rezolvată o problemă de gestionare a ferestrelor prin gestionarea îmbunătățită a stării.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) de la Suma Soft Pvt. Ltd, Pune (India)

Sandbox

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate suprascrie fișiere arbitrare

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate accesa date sensibile înregistrate atunci când utilizatorul partajează un link

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

Siri

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40428: Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal

StorageKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate citi fișiere arbitrare

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2023-41968: Mickey Jin (@patch1t) și James Hutchins

TCC

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) și Csaba Fitzl (@theevilbit) (Offensive Security)

WebKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2023-39434: Francisco Alonso (@revskills) și Dohyun Lee (@l33d0hyun) (PK Security)

CVE-2023-40414: Francisco Alonso (@revskills)

WebKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-41074: 이준성(Junsung Lee) (Cross Republic) și Jie Ding(@Lime) (HKUS3 Lab)

WebKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-35074: Dong Jun Kim (@smlijun) și Jong Seong Kim (@nevul37) (AbyssLab) și zhunki

WebKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: parola unui utilizator poate fi citită cu voce tare de VoiceOver

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-32359: Claire Houston

WebKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator de la distanță ar putea să vizualizeze interogări DNS divulgate cu funcția Transmisie privată activată

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-40385: anonim

WebKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de corectitudine a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2023-42833: Dong Jun Kim (@smlijun) și Jong Seong Kim (@nevul37) (AbyssLab)

Wi-Fi

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin eliminarea codului vulnerabil.

CVE-2023-38610: Wang (Cyberserval)

Alte mențiuni

Accessibility

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal India pentru asistența acordată.

AirPort

Dorim să le mulțumim lui Adam M., respectiv lui Noah Roskin-Frazee și d-lui prof. Jason Lau (ZeroClicks.ai Lab) pentru asistența acordată.

Apple Neural Engine

Dorim să îi mulțumim lui pattern-f (@pattern_F_) (Ant Security Light-Year Lab) pentru asistență.

AppSandbox

Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Audio

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistență.

Bluetooth

Dorim să le mulțumim lui Jianjun Dai și Guang Gong de la 360 Vulnerability Research Institute pentru asistență.

Books

Dorim să îi mulțumim lui Aapo Oksman (Nixu Cybersecurity) pentru asistența acordată.

Control Center

Dorim să-i mulțumim lui Chester van den Bogaard pentru asistența acordată.

CoreMedia Playback

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistență.

Data Detectors UI

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology pentru asistență.

Draco

Dorim să îi mulțumim lui David Coomber pentru asistență.

Find My

Dorim să le mulțumim celor de la Cher Scarlett pentru asistența acordată.

Home

Dorim să-i mulțumim lui Jake Derouin (jakederouin.com) pentru asistența acordată.

IOUserEthernet

Dorim să le mulțumim celor de la Certik Skyfall Team pentru asistență.

Kernel

Dorim să îi mulțumim lui Bill Marczak de la The Citizen Lab din cadrul Munk School din cadrul The University of Toronto și lui Maddie Stone din Threat Analysis Group de la Google și lui 永超 王 pentru asistență.

Keyboard

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

libxml2

Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistența acordată.

libxpc

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

libxslt

Dorim să le mulțumim lui Dohyun Lee (@l33d0hyun) de la PK Security, OSS-Fuzz și Ned Williamson de la Google Project Zero pentru asistența acordată.

Menus

Dorim să îi mulțumim lui Matthew Denton (Google Chrome Security) pentru asistență.

Notes

Dorim să îi mulțumim lui Lucas-Raphael Müller pentru asistență.

Notifications

Dorim să îi mulțumim lui Jiaxu Li pentru asistență.

NSURL

Dorim să le mulțumim lui Zhanpeng Zhao (行之) și 糖豆爸爸(@晴天组织) pentru asistența acordată.

Password Manager

Dorim să îi mulțumim lui Hidetoshi Nakamura pentru asistență.

Photos

Dorim să îi mulțumim lui Anatolii Kozlov, Dawid Pałuska, Lyndon Cornelius și Paul Lurin pentru asistență.

Power Services

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistență.

Quick Look

Dorim să îi mulțumim lui 이준성(Junsung Lee) din cadrul Cross Republic pentru asistență.

Safari

Dorim să îi mulțumim lui Kang Ali de la Punggawa Cyber Security și lui andrew James gonzalez pentru asistență.

Safari Private Browsing

Dorim să le mulțumim lui Khiem Tran și lui Narendra Bhati de la Suma Soft Pvt. Ltd și unui cercetător anonim pentru asistența acordată.

Shortcuts

Dorim să le mulțumim lui Alfie CG, Christian Basting (Bundesamt für Sicherheit in der Informationstechnik), Cristian Dinca (Colegiul Național de Informatică „Tudor Vianu”, România), Giorgos Christodoulidis, Jubaer Alnazi (TRS Group Of Companies), KRISHAN KANT DWIVEDI (@xenonx7) și Matthew Butler pentru asistența acordată.

Siri

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology pentru asistență.

Software Update

Dorim să-i mulțumim lui Omar Siman pentru asistența acordată.

Spotlight

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal și lui Dawid Pałuska pentru asistență.

Standby

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology pentru asistență.

Status Bar

Dorim să îi mulțumim lui N și unui cercetător anonim pentru asistență.

StorageKit

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Weather

Dorim să-i mulțumim lui Wojciech Regula de la SecuRing (wojciechregula.blog) pentru asistență.

WebKit

Dorim să le mulțumim lui Khiem Tran și lui Narendra Bhati de la Suma Soft Pvt. Ltd și unui cercetător anonim pentru asistența acordată.

WebRTC

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Wi-Fi

Dorim să-i mulțumim lui Wang Yu de la Cyberserval pentru asistența acordată.