Despre conținutul de securitate din iOS 16

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

Lansare: 12 septembrie 2022

Accelerate Framework

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2022-42795: ryuzaki

Adăugare intrare: 27 octombrie 2022

AppleAVD

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich (Google Project Zero) și un cercetător anonim

Adăugare intrare: 27 octombrie 2022

AppleAVD

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-32907: Natalie Silvanovich de la Google Project Zero, Antonio Zekic (@antoniozekic) și John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Adăugare intrare: 27 octombrie 2022

AppleMobileFileIntegrity

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) (SecuRing)

Adăugare intrare: 16 martie 2023

Apple Neural Engine

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Adăugare intrare: 27 octombrie 2022

Apple Neural Engine

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Adăugare intrare: 27 octombrie 2022

Apple TV

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2022-32909: Csaba Fitzl (@theevilbit) de la Offensive Security

Adăugare intrare: 27 octombrie 2022

Contacts

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)

Crash Reporter

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator cu acces fizic la un dispozitiv iOS poate fi capabil să citească jurnalele de diagnosticare anterioare

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-32867: Kshitij Kumar și Jai Musunuri (Crowdstrike)

Adăugare intrare: 27 octombrie 2022

DriverKit

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32865: Linus Henze (Pinauten GmbH) (pinauten.de)

Adăugare intrare: 27 octombrie 2022

Exchange

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator cu o poziție privilegiată în rețea poate intercepta acreditări pentru e-mail

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) (Check Point Research)

Adăugare intrare: 27 octombrie 2022, actualizare intrare: 16 martie 2023

FaceTime

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator poate trimite conținut audio și video în apeluri FaceTime fără a ști că a făcut acest lucru

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois, Urbana-Champaign), Rohan Pahwa (Rutgers University) și Bao Nguyen (University of Florida)

Adăugare intrare: 16 martie 2023

GPU Drivers

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: au fost rezolvate mai multe probleme de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-32793: un cercetător anonim

Adăugare intrare: 16 martie 2023

GPU Drivers

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-26744: un cercetător anonim

Adăugare intrare: 27 octombrie 2022

GPU Drivers

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-32903: un cercetător anonim

Adăugare intrare: 27 octombrie 2022

ImageIO

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea validării.

CVE-2022-1622

Adăugare intrare: 27 octombrie 2022

Image Processing

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație din sandbox poate fi capabilă să determine ce aplicație utilizează în prezent camera

Descriere: problema a fost rezolvată prin restricții suplimentare privind observabilitatea stărilor aplicațiilor.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Adăugare intrare: 27 octombrie 2022

IOGPUFamily

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32887: un cercetător anonim

Adăugare intrare: 27 octombrie 2022

Kernel

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: a existat o problemă de citire în afara limitelor care cauza divulgarea conținutului memoriei kernel. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2022-32916: Pan ZhenPeng (STAR Labs SG Pte. Ltd.

Adăugare intrare: 9 noiembrie 2022

Kernel

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-32914: Zweig de la Kunlun Lab

Adăugare intrare: 27 octombrie 2022

Kernel

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32866: Linus Henze de la Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

Intrare actualizată pe 27 octombrie 2022

Kernel

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32864: Linus Henze (Pinauten GmbH) (pinauten.de)

Kernel

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel.

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2022-32917: un cercetător anonim

Maps

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator poate să acorde privilegii superioare

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2022-32908: un cercetător anonim

Notifications

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator cu acces fizic la un dispozitiv poate accesa contacte din ecranul de blocare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32879: Ubeydullah Sümer

Adăugare intrare: 27 octombrie 2022

Photos

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd.), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com) (Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan (Pune, India)

Adăugare intrare: 27 octombrie 2022, actualizare intrare: 16 martie 2023

Safari

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-32795: Narendra Bhati (Suma Soft Pvt.) Ltd. Pune (India) @imnarendrabhati

Safari Extensions

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un site web poate urmări utilizatori prin intermediul extensiilor web Safari

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Sandbox

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32881: Csaba Fitzl (@theevilbit) de la Offensive Security

Adăugare intrare: 27 octombrie 2022

Security

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate ocoli verificări de semnare a codului

Descriere: a fost rezolvată o problemă la validarea semnăturii codului prin verificări îmbunătățite.

CVE-2022-42793: Linus Henze (Pinauten GmbH) (pinauten.de)

Adăugare intrare: 27 octombrie 2022

Shortcuts

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o persoană cu acces fizic la un dispozitiv iOS poate accesa poze din ecranul de blocare

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32872: Elite Tech Guru

Sidecar

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Adăugare intrare: 27 octombrie 2022

Siri

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o persoană cu acces fizic la un dispozitiv poate folosi Siri pentru a accesa informații private din calendar

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2022-32871: Amit Prajapat (Payatu Security Consulting Private Limited)

Adăugare intrare: 16 martie 2023

Siri

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator cu acces fizic la un dispozitiv ar putea folosi Siri pentru a obține anumite informații despre istoricul apelurilor

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas, Austin) (linkedin.com/andrew-goldberg-/)

Adăugare intrare: 27 octombrie 2022

Software Update

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.

CVE-2022-42791: Mickey Jin (@patch1t) (Trend Micro)

Adăugare intrare: 9 noiembrie 2022

SQLite

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator la distanță poate provoca un refuz al serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-36690

Adăugare intrare: 27 octombrie 2022

Time Zone

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: contactele șterse pot apărea în continuare în rezultatele căutării în spotlight

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32859

Adăugare intrare: 27 octombrie 2022

Watch app

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate citi un identificator de dispozitiv persistent

Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.

CVE-2022-32835: Guilherme Rambo de la Best Buddy Apps (rambo.codes)

Adăugare intrare: 27 octombrie 2022

Weather

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-32875: un cercetător anonim

Adăugare intrare: 27 octombrie 2022

WebKit

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: un utilizator neautorizat poate accesa istoricul navigării

Descriere: a existat o problemă la căile de fișiere utilizate pentru stocarea datelor site-urilor web. Problema a fost rezolvată prin îmbunătățirea modului în care sunt stocate datele site-urilor web.

CVE-2022-32833: Csaba Fitzl (@theevilbit) (Offensive Security), Jeff Johnson

Adăugare intrare: 9 noiembrie 2022

WebKit

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Adăugare intrare: 27 octombrie 2022

WebKit

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: vizitarea unui site web care conține conținut rău intenționat poate duce la falsificarea interfeței de utilizator

Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 și un cercetător anonim

Adăugare intrare: 27 octombrie 2022

WebKit

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) (Theori) în colaborare cu Zero Day Initiative (Trend Micro)

WebKit Sandboxing

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de acces a fost rezolvată prin aducerea de îmbunătățiri la sandbox.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 și @jq0904 (DBAppSecurity's WeBin lab)

Adăugare intrare: 27 octombrie 2022

Wi-Fi

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-46709: Wang Yu de la Cyberserval

Adăugare intrare: 16 martie 2023

Wi-Fi

Disponibilitate pentru: iPhone 8 și modele ulterioare

Impact: o aplicație poate duce la închiderea neașteptată a sistemului sau poate scrie în memoria kernel

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-32925: Wang Yu de la Cyberserval

Adăugare intrare: 27 octombrie 2022

AirDrop

Dorim să le mulțumim lui Alexander Heinrich, lui Milan Stute și lui Christian Weinert de la Technical University of Darmstadt pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

AppleCredentialManager

Dorim să îi mulțumim lui @jonathandata1 pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

Calendar UI

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

CoreGraphics

Dorim să îi mulțumim lui Simon de Vegt pentru asistența acordată.

Adăugare intrare: 9 noiembrie 2022

FaceTime

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Adăugare intrare: 27 octombrie 2022

Find My

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Adăugare intrare: 27 octombrie 2022

Game Center

Dorim să îi mulțumim lui Joshua Jones pentru asistență.

iCloud

Dorim să le mulțumim lui Bülent Aytulun și unui cercetător anonim pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

Identity Services

Dorim să îi mulțumim lui Joshua Jones pentru asistență.

Kernel

Dorim să le mulțumim lui Pan ZhenPeng(@Peterpan0927), lui Ting Yin (Tsinghua University), lui Min Zheng (Ant Group) și unui cercetător anonim pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

Mail

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Adăugare intrare: 27 octombrie 2022

Notes

Dorim să îi mulțumim lui Edward Riley de la Iron Cloud Limited (ironclouduk.com) pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

Photo Booth

Dorim să îi mulțumim lui Prashanth Kannan (Dremio) pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

Safari

Dorim să îi mulțumim lui Scott Hatfield (Sub-Zero Group) pentru asistența acordată.

Adăugare intrare: 16 martie 2023

Sandbox

Dorim să îi mulțumim lui Csaba Fitzl (@theevilbit) (Offensive Security) pentru asistență.

Adăugare intrare: 27 octombrie 2022

Shortcuts

Dorim să îi mulțumim lui Shay Dror pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

SOS

Dorim să le mulțumim lui Xianfeng Lu și lui Lei Ai (OPPO Amber Security Lab) pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

UIKit

Dorim să le mulțumim lui Aleczander Ewing, lui Simon de Vegt și unui cercetător anonim pentru asistența acordată.

Adăugare intrare: 27 octombrie 2022

WebKit

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Adăugare intrare: 27 octombrie 2022

WebRTC

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Adăugare intrare: 27 octombrie 2022