Obsah zabezpečenia v systémoch iOS 15 a iPadOS 15.5
V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 15 a iPadOS 15.5.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 15 a iPadOS 15.5
Dátum vydania: 16. mája 2022
AppleAVD
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-26702: Anonymný výskumník, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom)
Dátum aktualizovania záznamu: 16. marca 2023
AppleGraphicsControl
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26751: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
AVEVideoEncoder
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26736: Anonymný výskumník
CVE-2022-26737: Anonymný výskumník
CVE-2022-26738: Anonymný výskumník
CVE-2022-26739: Anonymný výskumník
CVE-2022-26740: Anonymný výskumník
DriverKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému s prístupom k dátam v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26763: Linus Henze (Pinauten GmbH, pinauten.de)
FaceTime
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) z tímu SecuRing
Dátum pridania záznamu: 6. júla 2022
GPU Drivers
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26744: Anonymný výskumník
ImageIO
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26711: actae0n z tímu Blacksun Hackers Club v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2022-26701: chenyuwang (@mzzzz__) (Tencent Security Xuanwu Lab)
IOSurfaceAccelerator
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26771: Anonymný výskumník
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) zo STAR Labs (@starlabs_sg)
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-26757: Ned Williamson (Google Project Zero)
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26764: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník so zlými úmyslami s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-26765: Linus Henze (Pinauten GmbH, pinauten.de)
LaunchServices
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu pre aplikácie od iných výrobcov.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or zo spoločnosti Microsoft
Dátum aktualizovania záznamu: 6. júla 2022
libresolv
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26775: Max Shavrick (@_mxms) (Google Security Team)
Dátum pridania záznamu: 21. júna 2022
libresolv
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26708: Max Shavrick (@_mxms) (Google Security Team)
Dátum pridania záznamu: 21. júna 2022
libresolv
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32790: Max Shavrick (@_mxms) z tímu Google Security Team
Dátum pridania záznamu: 21. júna 2022
libresolv
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26776: Max Shavrick (@_mxms) (Google Security Team), Zubair Ashraf (Crowdstrike)
Dátum pridania záznamu: 21. júna 2022
libxml2
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-23308
Notes
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie veľkého vstupu môže viesť k odmietnutiu služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal
Safari Private Browsing
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Webová stránka so škodlivým kódom môže byť schopná sledovať používateľov v režime anonymného prezerania v Safari
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26731: Anonymný výskumník
Security
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná obísť overenie podpisu
Popis: Dochádzalo k problému s analýzou certifikátov, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-26766: Linus Henze (Pinauten GmbH, pinauten.de)
Shortcuts
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k fotkám zo zamknutej plochy
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26703: Salman Syed (@slmnsd551)
Spotlight
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) a Joshua Mason z tímu Mandiant
Dátum pridania záznamu: 21. decembra 2023
TCC
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Dátum pridania záznamu: 16. marca 2023
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou (ShuiMuYuLin Ltd a Tsinghua WingTecher Lab)
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou zo spoločnosti ShuiMuYuLin Ltd a Tsinghua z tímu WingTecher Lab
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin (Theori)
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Opis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) (Kunlun Lab)
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech
WebRTC
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vlastný náhľad videa vo volaní webRTC sa môže prerušiť, ak používateľ prijme telefonický hovor
Popis: Dochádzalo k problému s logikou pri súčasnom spracovávaní médií, ktorý bol vyriešený vylepšením spracovania stavu.
WebKit Bugzilla: 237524
CVE-2022-22677: Anonymný výskumník
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26745: Scarlet Raine
Dátum aktualizovania záznamu: 6. júla 2022
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26760: 08Tc3wBB z tímu ZecOps Mobile EDR Team
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2015-4142: Kostya Kortchinsky z tímu Google Security Team
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-26762: Wang Yu (Cyberserval)
Ďalšie poďakovanie
AppleMobileFileIntegrity
Poďakovanie za pomoc si zaslúži Wojciech Reguła (@_r3ggi) (SecuRing).
FaceTime
Poďakovanie za pomoc si zaslúži Wojciech Reguła (@_r3ggi) (SecuRing).
FileVault
Poďakovanie za pomoc si zaslúži Benjamin Adolphi (Promon Germany GmbH).
Dátum pridania záznamu: 16. marca 2023
WebKit
Poďakovanie za pomoc si zaslúžia James Lee a anonymný výskumník.
Dátum aktualizácie záznamu: 25. mája 2022
Wi-Fi
Poďakovanie za pomoc si zaslúži 08Tc3wBB z tímu ZecOps Mobile EDR.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.