Despre conținutul de securitate din iOS 16.1 și iPadOS 16

Acest document descrie conținutul de securitate din iOS 16.1 și iPadOS 16.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

iOS 16.1 și iPadOS 16

Lansare: 24 octombrie 2022

Apple Neural Engine

Disponibilitate pentru: iPhone 8 și modele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modele ulterioare, iPad a 5-a generație și modele ulterioare, iPad mini a 5-a generație și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32932: Mohamed Ghannam (@_simo36)

Adăugare intrare: 27 octombrie 2022

AppleMobileFileIntegrity

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: această problemă a fost rezolvată prin eliminarea drepturilor suplimentare.

CVE-2022-42825: Mickey Jin (@patch1t)

Apple TV

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2022-32909: Csaba Fitzl (@theevilbit) de la Offensive Security

Intrare adăugată la 21 decembrie 2023

Audio

Impact: analizarea unui fișier audio creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42798: anonim, în colaborare cu Trend Micro Zero Day Initiative

Adăugare intrare: 27 octombrie 2022

AVEVideoEncoder

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2022-32940: ABC Research s.r.o.

Backup

Impact: o aplicație poate accesa backupuri iOS

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2022-32929: Csaba Fitzl (@theevilbit) de la Offensive Security

Adăugare intrare: 27 octombrie 2022

CFNetwork

Impact: procesarea unui certificat creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de validare a certificatelor la tratarea WKWebView. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2022-42813: Jonathan Zhang (Open Computing Facility) (ocf.berkeley.edu)

Core Bluetooth

Impact: o aplicație poate fi capabilă să înregistreze audio folosind căști AirPods asociate

Descriere: o problemă legată de acces a fost rezolvată cu restricții suplimentare la nivel de sandbox aplicate aplicațiilor terțe.

CVE-2022-32945: Guilherme Rambo de la Best Buddy Apps (rambo.codes)

Adăugare intrare: 22 decembrie 2022

Core Bluetooth

Impact: o aplicație poate fi capabilă să înregistreze audio folosind o pereche de căști AirPods conectate

Descriere: această problemă a fost rezolvată prin îmbunătățirea drepturilor.

CVE-2022-32946: Guilherme Rambo (Best Buddy Apps) (rambo.codes)

FaceTime

Impact: un utilizator poate vizualiza conținut restricționat din ecranul de blocare

Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.

CVE-2022-32935: Bistrit Dahal

Adăugare intrare: 27 octombrie 2022

GPU Drivers

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Graphics Driver

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2022-32939: Willy R. Vasquez (The University of Texas, Austin)

Adăugare intrare: 27 octombrie 2022

IOHIDFamily

Impact: o aplicație poate cauza închiderea neașteptată a aplicației sau executarea arbitrară a codului

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)

IOKit

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2022-42806: Tingting Yin (Tsinghua University)

Kernel

Impact: o aplicație poate provoca o închidere neașteptată a sistemului sau poate executa cod cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-46712: Tommy Muir (@Muirey03)

Adăugare intrare: 1 mai 2023

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2022-32944: Tim Michaud (@TimGMichaud) de la Moveworks.ai

Adăugare intrare: 27 octombrie 2022

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)

Adăugare intrare: 27 octombrie 2022

Kernel

Impact: o aplicație cu privilegii de root poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2022-32926: Tim Michaud (@TimGMichaud) (Moveworks.ai)

Adăugare intrare: 27 octombrie 2022

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2022-42801: Ian Beer de la Google Project Zero

Adăugare intrare: 27 octombrie 2022

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32924: Ian Beer (Google Project Zero)

Kernel

Impact: un utilizator la distanță poate cauza executarea codului kernel

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-42808: Zweig (Kunlun Lab)

Kernel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2022-42827: un cercetător anonim

Model I/O

Impact: procesarea unui fișier USD creat cu rea intenție poate dezvălui conținutul memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) și Yinyi Wu (Ant Security Light-Year Lab)

Adăugare intrare: 27 octombrie 2022

NetworkExtension

Impact: o aplicație poate să ocolească anumite preferințe de confidențialitate

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2022-46715: IES Red Team (ByteDance)

Adăugare intrare: 1 mai 2023

ppp

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42828: un cercetător anonim

Intrare adăugată la data de 31 octombrie 2023

ppp

Impact: depășirea memoriei tampon poate avea ca rezutlat executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2022-32941: un cercetător anonim

Adăugare intrare: 27 octombrie 2022

ppp

Impact: o aplicație cu privilegii de rădăcină poate să execute cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2022-42829: un cercetător anonim

ppp

Impact: o aplicație cu privilegii de rădăcină poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-42830: un cercetător anonim

ppp

Impact: o aplicație cu privilegii de rădăcină poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2022-42831: un cercetător anonim

CVE-2022-42832: un cercetător anonim

Safari

Impact: accesarea unui site web rău intenționat poate cauza scurgeri de date sensibile

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2022-42817: Mir Masood Ali, student doctorand, University of Illinois, Chicago; Binoy Chitale, masterand, Stony Brook University; Mohammad Ghasemisharif, doctorand, University of Illinois, Chicago; Chris Kanich, conferențiar universitar, University of Illinois, Chicago; Nick Nikiforakis, conferențiar universitar, Stony Brook University; Jason Polakis, conferențiar universitar, University of Illinois, Chicago

Intrare adăugată la data de 27 octombrie 2022, actualizată la data de 31 octombrie 2023

Sandbox

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2022-42811: Justin Bui (@slyd0g) (Snowflake)

Shortcuts

Impact: o scurtătură poate fi capabilă să verifice existența unei căi arbitrare în sistemul de fișiere

Descriere: o problemă de autorizare la gestionarea căilor directoarelor a fost rezolvată prin îmbunătățirea validării căilor.

CVE-2022-32938: Cristian Dinca (Tudor Vianu National High School of Computer Science of România

Weather

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.

CVE-2022-42792: un cercetător anonim

Adăugare intrare: 1 mai 2023

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)

Adăugare intrare: 22 decembrie 2022

WebKit

Impact: accesarea unui site web rău intenționat poate cauza falsificarea interfeței cu utilizatorul

Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.

WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) (SSD Labs)

WebKit

Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab, Korea University), Dohyun Lee (@l33d0hyun) (DNSLab, Korea University)

WebKit PDF

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) (Theori) în colaborare cu Zero Day Initiative (Trend Micro)

WebKit

Impact: procesarea conținutului unui site web creat cu rea intenție poate dezvălui stările interne ale aplicației

Descriere: a fost rezolvată o problemă de corectitudine în JIT prin îmbunătățirea verificărilor.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) de la KAIST Hacking Lab

Adăugare intrare: 27 octombrie 2022

Wi-Fi

Impact: alăturarea la o rețea Wi-Fi rău intenționată poate cauza o refuzare a serviciului în aplicația Configurări

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2022-32927: Dr Hideaki Goto (Tohoku University, Japonia)

Adăugare intrare: 27 octombrie 2022

zlib

Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Adăugare intrare: 27 octombrie 2022

Alte mențiuni

iCloud

Dorim să îi mulțumim lui Tim Michaud (@TimGMichaud) (Moveworks.ai) pentru asistența acordată.

IOGPUFamily

Dorim să îi mulțumim lui Wang Yu (cyberserval) pentru asistența acordată.

Intrare adăugată la data de 31 octombrie 2023

Image Processing

Dorim să-i mulțumim lui Tingting Yin (Tsinghua University) pentru asistența acordată.

Adăugare intrare: 1 mai 2023

Kernel

Dorim să le mulțumim lui Peter Nguyen (STAR Labs), lui Tim Michaud (@TimGMichaud) (Moveworks.ai) și lui Tommy Muir (@Muirey03) pentru asistența acordată.

WebKit

Dorim să le mulțumim lui Maddie Stone (Google Project Zero), lui Narendra Bhati (@imnarendrabhati) (Suma Soft Pvt. Ltd.) și unui cercetător anonim pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 04 ianuarie 2024