Despre conținutul de securitate din iOS 16.7.2 și iPadOS 16.7.2

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

Lansare: 25 octombrie 2023

CoreAnimation

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)

Core Recents

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: problema a fost rezolvată prin curățarea înregistrărilor

CVE-2023-42823

Intrare adăugată la 16 februarie 2024

Find My

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-40413: Adam M.

ImageIO

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40416: JZ

ImageIO

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza alterarea segmentului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-42848: JZ

Intrare adăugată la 16 februarie 2024

IOTextEncryptionFamily

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40423: un cercetător anonim

Kernel

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite atenuări ale memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)

libc

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: procesarea de date introduse create cu rea intenție poate duce la executarea unui cod arbitrar la aplicațiile instalate de utilizator

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-40446: inooo

Intrare adăugată la 3 noiembrie 2023

libxpc

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2023-42942: Mickey Jin (@patch1t)

Intrare adăugată la 16 februarie 2024

Mail Drafts

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: opțiunea Mascare e-mail poate fi dezactivată în mod neașteptat

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv după adresa sa MAC Wi-Fi

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2023-42846: Talal Haj Bakry și Tommy Mysk de la Mysk Inc. @mysk_co

Pro Res

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu și Guang Gong (360 Vulnerability Research Institute)

Pro Res

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu și Guang Gong (360 Vulnerability Research Institute)

Intrare adăugată la 16 februarie 2024

Safari

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: accesarea unui site web rău intenționat poate dezvălui istoricul de navigare

Descriere: problema a fost remediată printr-o manipulare îmbunătățită a cache-urilor.

CVE-2023-41977: Alex Renda

Siri

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2023-41997: Bistrit Dahal

CVE-2023-41982: Bistrit Dahal

Intrare actualizată pe 16 februarie 2024

Weather

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea redactării datelor private pentru intrările în jurnal.

CVE-2023-41254: Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România

WebKit

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: parola unui utilizator poate fi citită cu voce tare de VoiceOver

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

WebKit

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) (Cross Republic)

WebKit

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) și Vitor Pedreira (@0xvhp_) de la Agile Information Security

Intrare actualizată pe 16 februarie 2024

WebKit

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Intrare adăugată la 16 februarie 2024

WebKit Process Model

Disponibilitate pentru: iPhone 8 și modelele ulterioare, iPad Pro (toate modelele), iPad Air a 3-a generație și modelele ulterioare, iPad a 5-a generație și modelele ulterioare, iPad mini a 5-a generație și modelele ulterioare

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

libxml2

Dorim să le mulțumim lui OSS-Fuzz și lui Ned Williamson (Google Project Zero) pentru asistență.

libarchive

Dorim să-i mulțumim lui Bahaa Naamneh pentru asistența acordată.

WebKit

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

WebKit

Dorim să îi mulțumim lui Gishan Don Ranasinghe și unui cercetător anonim pentru asistența acordată.

Intrare adăugată la 16 februarie 2024