Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
iOS 15.5 și iPadOS 15.5
Lansare: luni, 16 mai 2022
AppleAVD
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-26702: un cercetător anonim, Antonio Zekic (@antoniozekic) și John Aakerblom (@jaakerblom)
Actualizare intrare: 16 martie 2023
AppleGraphicsControl
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2022-26751: Michael DePlante (@izobashi) Zero Day Initiative (Trend Micro)
AVEVideoEncoder
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26736: un cercetător anonim
CVE-2022-26737: un cercetător anonim
CVE-2022-26738: un cercetător anonim
CVE-2022-26739: un cercetător anonim
CVE-2022-26740: un cercetător anonim
DriverKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2022-26763: Linus Henze (Pinauten GmbH) (pinauten.de)
FaceTime
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație cu privilegii de rădăcină poate accesa informații private
Descriere: această problemă a fost rezolvată prin activarea unui runtime întărit.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) (SecuRing)
Intrare adăugată la data de 06 iulie 2022
GPU Drivers
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-26744: un cercetător anonim
ImageIO
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire de întreg prin îmbunătățirea validării intrării.
CVE-2022-26711: actae0n de la Blacksun Hackers Club în colaborare cu Trend Micro Zero Day Initiative
IOKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de cursă prin îmbunătățirea blocării.
CVE-2022-26701: chenyuwang (@mzzzz__) (Tencent Security Xuanwu Lab)
IOSurfaceAccelerator
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-26771: un cercetător anonim
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de corupere a memoriei prin îmbunătățirea validării.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs) (@starlabs_sg)
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-26757: Ned Williamson (Google Project Zero)
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2022-26764: Linus Henze (Pinauten GmbH) (pinauten.de)
Kernel
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator cu rea intenție, cu capacitate arbitrară de citire și scriere, poate reuși să evite autentificarea pointerilor
Descriere: a fost rezolvată o condiție de cursă prin îmbunătățirea tratării stării.
CVE-2022-26765: Linus Henze (Pinauten GmbH) (pinauten.de)
LaunchServices
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă legată de acces a fost rezolvată cu restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
Intrare actualizată pe 6 iulie 2022
libresolv
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2022-26775: Max Shavrick (@_mxms) (Google Security Team)
Intrare adăugată la data de 21 iunie 2022
libresolv
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-26708: Max Shavrick (@_mxms) (Google Security Team)
Intrare adăugată la data de 21 iunie 2022
libresolv
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)
Intrare adăugată la data de 21 iunie 2022
libresolv
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-26776: Max Shavrick (@_mxms) (Google Security Team), Zubair Ashraf (Crowdstrike)
Intrare adăugată la data de 21 iunie 2022
libxml2
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2022-23308
Observații
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unei intrări mari poate cauza o refuzare a serviciului (DoS)
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal
Safari Private Browsing
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un site web rău intenționat poate urmări utilizatori în modul de navigare privată din Safari
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2022-26731: un cercetător anonim
Securitate
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație rău intenționată poate să ocolească validarea semnăturii
Descriere: a fost rezolvată o problemă legată de analiza certificatelor prin îmbunătățirea verificărilor.
CVE-2022-26766: Linus Henze (Pinauten GmbH) (pinauten.de)
Shortcuts
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o persoană cu acces fizic la un dispozitiv iOS poate accesa poze din ecranul de blocare
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-26703: Salman Syed (@slmnsd551)
Spotlight
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) și Joshua Mason (Mandiant)
Intrare adăugată la 21 decembrie 2023
TCC
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Adăugare intrare: 16 martie 2023
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou de la ShuiMuYuLin Ltd și Tsinghua wingtecher lab
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou de la ShuiMuYuLin Ltd și Tsinghua wingtecher lab
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin (Theori)
WebKit
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) (Kunlun Lab)
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao în colaborare cu ADLab (Venustech)
WebRTC
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: previzualizarea video automată într-un apel webRTC poate fi întreruptă dacă utilizatorul răspunde la un apel telefonic
Descriere: a fost rezolvată o problemă de logică în tratarea suporturilor media concurente prin îmbunătățirea tratării stării.
WebKit Bugzilla: 237524
CVE-2022-22677: un cercetător anonim
Wi-Fi
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație rău intenționată poate divulga memorie restricționată
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2022-26745: Scarlet Raine
Intrare actualizată pe 6 iulie 2022
Wi-Fi
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2022-26760: 08Tc3wBB de la ZecOps Mobile EDR Team
Wi-Fi
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: un atacator la distanță poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2015-4142: Kostya Kortchinsky de la Google Security Team
Wi-Fi
Disponibilitate pentru: iPhone 6s și modele ulterioare, iPad Pro (toate modelele), iPad Air 2 și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini 4 și modele ulterioare și iPod touch (a 7-a generație)
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2022-26762: Wang Yu (Cyberserval)
Alte mențiuni
AppleMobileFileIntegrity
Dorim să îi mulțumim lui Wojciech Reguła (@_r3ggi) de la SecuRing pentru asistența acordată.
FaceTime
Dorim să îi mulțumim lui Wojciech Reguła (@_r3ggi) de la SecuRing pentru asistența acordată.
FileVault
Dorim să îi mulțumim lui Benjamin Adolphi (Promon Germany GmbH) pentru asistența acordată.
Adăugare intrare: 16 martie 2023
WebKit
Dorim să îi mulțumim lui James Lee și unui cercetător anonim pentru asistența acordată.
Intrare actualizată la data de 25 mai 2022
Wi-Fi
Dorim să îi mulțumim lui 08Tc3wBB de la ZecOps Mobile EDR Team pentru asistența acordată.