Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
iOS 15.7.8 și iPadOS 15.7.8
Publicat pe 24 iulie 2023
Accessibility
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40442: Nick Brook
Adăugare intrare: 8 septembrie 2023
Apple Neural Engine
Disponibilitate pentru dispozitivele cu Apple Neural Engine: iPhone 8 și modele ulterioare, iPad Pro (a 3-a generație) și modele ulterioare, iPad Air (a 3-a generație) și modele ulterioare și iPad mini (a 5-a generație)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-34425: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Adăugare intrare: 27 iulie 2023
Apple Neural Engine
Disponibilitate pentru dispozitivele cu Apple Neural Engine: iPhone 8 și modele ulterioare, iPad Pro (a 3-a generație) și modele ulterioare, iPad Air (a 3-a generație) și modele ulterioare și iPad mini (a 5-a generație)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CFNetwork
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-40392: Wojciech Regula de la SecuRing (wojciechregula.blog)
Adăugare intrare: 8 septembrie 2023
Find My
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2023-32416: Wojciech Regula de la SecuRing (wojciechregula.blog)
FontParser
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: procesarea unui fișier de font poate cauza executarea unui cod arbitrar. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.
Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) (Kaspersky)
Adăugare intrare: 8 septembrie 2023
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38603: Zweig de la Kunlun Lab
Adăugare intrare: 27 iulie 2023
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: un utilizator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2023-38590: Zweig de la Kunlun Lab
Adăugare intrare: 27 iulie 2023
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Adăugare intrare: 27 iulie 2023
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2023-38604: un cercetător anonim
Adăugare intrare: 27 iulie 2023
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) de la STAR Labs SG Pte. Ltd.
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: este posibil ca o aplicație să poată modifica informații sensibile privind starea kernelului. Apple a luat cunoștință de un raport conform căruia este posibil ca această problemă să fi fost exploatată în mod activ împotriva versiunilor de iOS lansate înainte de iOS 15.7.1.
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) și Boris Larin (@oct0xor) de la Kaspersky
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2023-32433: Zweig de la Kunlun Lab
CVE-2023-35993: Kaitao Xie și Xiaolong Bai (Alibaba Group)
Kernel
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: un utilizator la distanță poate provoca un refuz al serviciului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-38603: Zweig de la Kunlun Lab
Adăugare intrare: 22 decembrie 2023
libxpc
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2023-38593: Noah Roskin-Frazee
Adăugare intrare: 27 iulie 2023
libxpc
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: este posibil ca o aplicație să obțină privilegii de rădăcină
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-38565: Zhipeng Huo (@R3dF09) de la Tencent Security Xuanwu Lab (xlab.tencent.com)
Adăugare intrare: 27 iulie 2023
Security
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: este posibil ca o aplicație să poată amprenta utilizatorul
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2023-42831: James Duffy (mangoSecure)
Adăugare intrare: 22 decembrie 2023
Weather
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: o aplicație poate determina locația curentă a unui utilizator
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-38605: Adam M.
Adăugare intrare: 8 septembrie 2023
WebKit
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: un site web poate urmări informații sensibile ale utilizatorilor
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin și Yuval Yarom
Adăugare intrare: 27 iulie 2023
WebKit
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: procesarea unui document poate declanșa un atac asupra scripturilor de pe mai multe site-uri
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Adăugare intrare: 27 iulie 2023
WebKit
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: procesarea conținutului web poate cauza executarea unui cod arbitrar. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 259231
CVE-2023-37450: un cercetător anonim
Adăugare intrare: 27 iulie 2023
WebKit
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: este posibil ca un site web să poată reuși să evite politica privind aceeași origine
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) de la Suma Soft Pvt. Ltd, Pune - India
WebKit
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: un atacator la distanță poate evada din sandboxul Web Content. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Google's Threat Analysis Group) și Donncha Ó Cearbhaill (Amnesty International’s Security Lab)
WebKit
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Process Model
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) de la Cross Republic
WebKit Web Inspector
Disponibil pentru: iPhone 6s (toate modelele), iPhone 7 (toate modelele), iPhone SE (prima generație), iPad Air 2, iPad mini (a 4-a generație) și iPod touch (a 7-a generație)
Impact: procesarea conținutului web poate divulga informații sensibile
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Alte mențiuni
Dorim să îi mulțumim lui Parvez Anwar pentru asistența acordată.
Screenshots
Dorim să le mulțumim lui Eric Williams (@eric5310pub), Yannik Bloscheck (yannikbloscheck.com), Dametto Luca și Casati Jacopo pentru asistență.
Adăugare intrare: 8 septembrie 2023
WebKit
Dorim să-i mulțumim lui Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd, Pune - India) pentru asistența acordată.
Adăugare intrare: 27 iulie 2023
WebRTC
Dorim să îi mulțumim unui cercetător anonim pentru asistență.