Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 15.7.1 и iPadOS 15.7.1

В этом документе описываются проблемы системы безопасности, устраняемые обновлениями iOS 15.7.1 и iPadOS 15.7.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

iOS 15.7.1 и iPadOS 15.7.1

Дата выпуска: 27 октября 2022 г.

Apple Neural Engine

Целевые продукты: iPhone 6s и более поздние модели, iPad Pro (все модели), iPad Air 2 и более поздние модели, iPad (5-го поколения) и более поздние модели, iPad mini 4 и более поздние модели и iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32932: Mohamed Ghannam (@_simo36)

Audio

Воздействие. Анализ вредоносного аудиофайла может приводить к раскрытию данных пользователя.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42798: анонимный исследователь в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

Backup

Воздействие. Приложение может получить доступ к резервным копиям iOS.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2022-32929: Csaba Fitzl (@theevilbit) из Offensive Security

FaceTime

Воздействие. Пользователь может просматривать содержимое с ограниченным доступом на экране блокировки.

Описание. Проблема с экраном блокировки решена путем улучшения управления состояниями.

CVE-2022-32935: Bistrit Dahal

Graphics Driver

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-32939: Willy R. Vasquez из Техасского университета в Остине

Image Processing

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-32949: Tingting Yin из Университета Цинхуа

Kernel

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2022-32944: Tim Michaud (@TimGMichaud) из Moveworks.ai

Kernel

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Условие состязания устранено путем улучшения блокировки.

CVE-2022-42803: Xinru Chi из Pangu Lab, John Aakerblom (@jaakerblom)

Kernel

Воздействие. Приложение с привилегиями пользователя root может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-32926: Tim Michaud (@TimGMichaud) из Moveworks.ai

Kernel

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Компании Apple известно о том, что этой проблемой могли активно пользоваться.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2022-42827: анонимный исследователь

Kernel

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2022-42801: Ian Beer из Google Project Zero

Model I/O

Воздействие. Обработка вредоносного файла USD может приводить к раскрытию содержимого памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42810: Xingwei Lin (@xwlin_roy) и Yinyi Wu из отдела Light-Year Security Lab компании Ant Group

ppp

Воздействие. Переполнение буфера может привести к выполнению произвольного кода

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2022-32941: анонимный исследователь

Safari

Воздействие. Посещение вредоносной веб-страницы могло привести к утечке важных данных.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2022-42817: Mir Masood Ali, студент аспирантуры из Иллинойсского университета в Чикаго; Binoy Chitale, студент магистратуры из Университета Стоуни-Брук; Mohammad Ghasemisharif, соискатель степени кандидата наук из Иллинойсского университета в Чикаго; Chris Kanich, доцент из Иллинойсского университета в Чикаго

WebKit

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию внутренних состояний приложения.

Описание. Проблема правильности в JIT устранена путем улучшения проверок.

WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) из KAIST Hacking Lab

Wi-Fi

Воздействие. Подключение к вредоносной сети Wi-Fi может привести к отказу в обслуживании приложения «Настройки».

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-32927: доктор Hideaki Goto из Университета Тохоку в Японии

zlib

Воздействие. Пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 16 января 2024 г.