Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 15 a iPadOS 15.5
Dátum vydania: 16. mája 2022
AppleAVD
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-26702: Anonymný výskumník, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom)
Dátum aktualizovania záznamu: 16. marca 2023
AppleGraphicsControl
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26751: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
AVEVideoEncoder
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26736: Anonymný výskumník
CVE-2022-26737: Anonymný výskumník
CVE-2022-26738: Anonymný výskumník
CVE-2022-26739: Anonymný výskumník
CVE-2022-26740: Anonymný výskumník
DriverKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému s prístupom k dátam v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-26763: Linus Henze (Pinauten GmbH, pinauten.de)
FaceTime
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Apka s oprávneniami používateľa root môže byť schopná získať prístup k súkromným informáciám
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) z tímu SecuRing
Dátum pridania záznamu: 6. júla 2022
GPU Drivers
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26744: Anonymný výskumník
ImageIO
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26711: actae0n z tímu Blacksun Hackers Club v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2022-26701: chenyuwang (@mzzzz__) (Tencent Security Xuanwu Lab)
IOSurfaceAccelerator
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26771: Anonymný výskumník
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) zo STAR Labs (@starlabs_sg)
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-26757: Ned Williamson (Google Project Zero)
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26764: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník so zlými úmyslami s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-26765: Linus Henze (Pinauten GmbH, pinauten.de)
LaunchServices
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu pre aplikácie od iných výrobcov.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or zo spoločnosti Microsoft
Dátum aktualizovania záznamu: 6. júla 2022
libresolv
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-26775: Max Shavrick (@_mxms) (Google Security Team)
Dátum pridania záznamu: 21. júna 2022
libresolv
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26708: Max Shavrick (@_mxms) (Google Security Team)
Dátum pridania záznamu: 21. júna 2022
libresolv
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32790: Max Shavrick (@_mxms) z tímu Google Security Team
Dátum pridania záznamu: 21. júna 2022
libresolv
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26776: Max Shavrick (@_mxms) (Google Security Team), Zubair Ashraf (Crowdstrike)
Dátum pridania záznamu: 21. júna 2022
libxml2
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-23308
Notes
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie veľkého vstupu môže viesť k odmietnutiu služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal
Safari Private Browsing
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Webová stránka so škodlivým kódom môže byť schopná sledovať používateľov v režime anonymného prezerania v Safari
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26731: Anonymný výskumník
Security
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná obísť overenie podpisu
Popis: Dochádzalo k problému s analýzou certifikátov, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-26766: Linus Henze (Pinauten GmbH, pinauten.de)
Shortcuts
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k fotkám zo zamknutej plochy
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26703: Salman Syed (@slmnsd551)
Spotlight
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) a Joshua Mason z tímu Mandiant
Dátum pridania záznamu: 21. decembra 2023
TCC
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
Dátum pridania záznamu: 16. marca 2023
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou (ShuiMuYuLin Ltd a Tsinghua WingTecher Lab)
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou zo spoločnosti ShuiMuYuLin Ltd a Tsinghua z tímu WingTecher Lab
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin (Theori)
WebKit
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Opis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) (Kunlun Lab)
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech
WebRTC
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Vlastný náhľad videa vo volaní webRTC sa môže prerušiť, ak používateľ prijme telefonický hovor
Popis: Dochádzalo k problému s logikou pri súčasnom spracovávaní médií, ktorý bol vyriešený vylepšením spracovania stavu.
WebKit Bugzilla: 237524
CVE-2022-22677: Anonymný výskumník
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2022-26745: Scarlet Raine
Dátum aktualizovania záznamu: 6. júla 2022
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26760: 08Tc3wBB z tímu ZecOps Mobile EDR Team
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2015-4142: Kostya Kortchinsky z tímu Google Security Team
Wi-Fi
Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)
Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-26762: Wang Yu (Cyberserval)
Ďalšie poďakovanie
AppleMobileFileIntegrity
Poďakovanie za pomoc si zaslúži Wojciech Reguła (@_r3ggi) (SecuRing).
FaceTime
Poďakovanie za pomoc si zaslúži Wojciech Reguła (@_r3ggi) (SecuRing).
FileVault
Poďakovanie za pomoc si zaslúži Benjamin Adolphi (Promon Germany GmbH).
Dátum pridania záznamu: 16. marca 2023
WebKit
Poďakovanie za pomoc si zaslúžia James Lee a anonymný výskumník.
Dátum aktualizácie záznamu: 25. mája 2022
Wi-Fi
Poďakovanie za pomoc si zaslúži 08Tc3wBB z tímu ZecOps Mobile EDR.