Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 15.7.2 и iPadOS 15.7.2

В этом документе описываются проблемы системы безопасности, устраняемые обновлениями iOS 15.7.2 и iPadOS 15.7.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

iOS 15.7.2 и iPadOS 15.7.2

Выпущено 13 декабря 2022 г.

AppleAVD

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного видеофайла может приводить к выполнению кода ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2022-46694: Andrey Labunets и Nikita Tarakanov

AVEVideoEncoder

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2022-42848: ABC Research s.r.o

File System

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-42861: pattern-f (@pattern_F_) из Ant Security Light-Year Lab

Graphics Driver

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Анализ вредоносного видеофайла может привести к неожиданному завершению работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42846: Willy R. Vasquez из Техасского университета в Остине

IOHIDFamily

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2022-42864: Tommy Muir (@Muirey03)

iTunes Store

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Возникала проблема при анализе URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2022-42837: Weijia Dai (@dwj1210) из Momo Security

Kernel

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2022-46689: Ian Beer из Google Project Zero

libxml2

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2022-40303: Maddie Stone из Google Project Zero

libxml2

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Удаленный пользователь может вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-40304: Ned Williamson и Nathan Wachholz из Google Project Zero

ppp

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42840: анонимный исследователь

Preferences

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Приложение может выполнять произвольное предоставление прав.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2022-42855: Ivan Fratric из Google Project Zero

Safari

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Посещение веб-сайта, через который распространяется вредоносный контент, может привести к подмене пользовательского интерфейса.

Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

TCC

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-46718: Michael (Biscuit) Thomas

Запись добавлена 1 мая 2023 г.

Weather

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2022-46703: Wojciech Reguła (@_r3ggi) из SecuRing и анонимный исследователь

Запись добавлена 16 марта 2023 г.

WebKit

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема устранена путем улучшенной проверки.

WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren и Hang Shu из Института вычислительных технологий Китайской академии наук

Запись добавлена 16 марта 2023 г.

WebKit

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2022-46705: Hyeon Park (@tree_segment) из команды ApplePIE

Запись добавлена 16 марта 2023 г.

WebKit

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.

WebKit Bugzilla: 245466
CVE-2022-46691: анонимный исследователь

WebKit

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2022-42852: hazbinhotel в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-контента может обойти политику одинакового источника (Same Origin Policy).

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß из Google V8 Security

WebKit

Доступно для: iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Apple известно о том, что эта проблема, возможно, активно использовалась в версиях iOS, выпущенных до iOS 15.1.

Описание. Проблема смешения типов устранена посредством улучшенного управления состояниями.

WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne из Threat Analysis Group компании Google

 

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: