Obsah zabezpečenia v systémoch iOS 15.7 a iPadOS 15.7

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 15.7 a iPadOS 15.7.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

iOS 15.7 a iPadOS 15.7

Dátum vydania: 12. septembra 2022

Apple Neural Engine

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

Dátum pridania záznamu: 27. októbra 2022

Audio

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2022-42796: Mickey Jin (@patch1t)

Dátum pridania záznamu: 27. októbra 2022, dátum aktualizovania: 1. mája 2023

Backup

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná získať prístup k zálohám systému iOS

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2022-32929: Csaba Fitzl (@theevilbit, Offensive Security)

Dátum pridania záznamu: 27. októbra 2022

Contacts

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-32854: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32911: Zweig (Kunlun Lab)

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2022-32917: Anonymný výskumník

Maps

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Používateľ môže byť schopný zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2022-32908: Anonymný výskumník

Notifications

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný získať prístup ku kontaktom zo zamknutej obrazovky

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32879: Ubeydullah Sümer

Dátum pridania záznamu: 27. októbra 2022

Safari

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-32795: Narendra Bhati (Suma Soft Pvt. Ltd. v Pune (India), @imnarendrabhati)

Safari Extensions

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Webová stránka môže byť schopná sledovať používateľov prostredníctvom webových rozšírení Safari

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Security

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Apka môže byť schopná obísť kontroly podpisu kódu

Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)

Dátum pridania záznamu: 27. októbra 2022

Shortcuts

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k fotkám zo zamknutej plochy

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32872: Elite Tech Guru

Sidecar

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Dátum pridania záznamu: 27. októbra 2022

WebKit

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Dátum pridania záznamu: 27. októbra 2022

WebKit

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) v spolupráci s Trend Micro Zero Day Initiative

WebKit Sandboxing

Dostupné pre: iPhone 6s a novší, iPad Pro (všetky modely), iPad Air 2 a novší, iPad (5. generácia) a novší, iPad mini 4 a novší a iPod touch (7. generácia)

Dopad: Proces sandboxu môže byť schopný obísť obmedzenia sandboxu

Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 a @jq0904 (WeBin lab, DBAppSecurity)

Dátum pridania záznamu: 27. októbra 2022

Ďalšie poďakovanie

AppleCredentialManager

Poďakovanie za pomoc si zaslúži @jonathandata1.

Dátum pridania záznamu: 27. októbra 2022

FaceTime

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

Game Center

Poďakovanie za pomoc si zaslúži Joshua Jones.

Identity Services

Poďakovanie za pomoc si zaslúži Joshua Jones.

Kernel

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

WebKit

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

WebRTC

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 11. decembra 2023