Obsah zabezpečenia v systéme iOS 16

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

Dátum vydania: 12. septembra 2022

Accelerate Framework

Dostupné pre: iPhone 8 a novší

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-42795: ryuzaki

Dátum pridania záznamu: 27. októbra 2022

AppleAVD

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich z tímu Google Project Zero a anonymný výskumník

Dátum pridania záznamu: 27. októbra 2022

AppleAVD

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-32907: Natalie Silvanovich z tímu Google Project Zero, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom), ABC Research s.r.o., Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Dátum pridania záznamu: 27. októbra 2022

AppleMobileFileIntegrity

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2022-32877: Wojciech Reguła (@_r3ggi) z tímu SecuRing

Dátum pridania záznamu: 16. marca 2023

Apple Neural Engine

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Dátum pridania záznamu: 27. októbra 2022

Apple Neural Engine

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Dátum pridania záznamu: 27. októbra 2022

Apple TV

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.

CVE-2022-32909: Csaba Fitzl (@theevilbit) z tímu Offensive Security

Dátum pridania záznamu: 27. októbra 2022

Contacts

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-32854: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom

Crash Reporter

Dostupné pre: iPhone 8 a novší

Dopad: Používateľ s fyzickým prístupom k iOS zariadeniu môže byť schopný čítať minulé diagnostické protokoly

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2022-32867: Kshitij Kumar a Jai Musunuri (Crowdstrike)

Dátum pridania záznamu: 27. októbra 2022

DriverKit

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32865: Linus Henze (Pinauten GmbH, pinauten.de)

Dátum pridania záznamu: 27. októbra 2022

Exchange

Dostupné pre: iPhone 8 a novší

Dopad: Používateľ s oprávneniami v sieti môže byť schopný zachytávať prihlasovacie údaje apky Mail

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)

Dátum pridania záznamu: 27. októbra 2022, dátum aktualizovania: 16. marca 2023

FaceTime

Dostupné pre: iPhone 8 a novší

Dopad: Používateľ môže vo FaceTime hovore odoslať audio a video bez toho, aby o tom vedel

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois v Urbana-Champaign), Rohan Pahwa (Rutgers University) a Bao Nguyen (University of Florida)

Dátum pridania záznamu: 16. marca 2023

GPU Drivers

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k viacerým problémom so zápisom dát mimo buffera, ktoré boli vyriešené vylepšením kontroly rozsahu.

CVE-2022-32793: Anonymný výskumník

Dátum pridania záznamu: 16. marca 2023

GPU Drivers

Dostupné pre: iPhone 8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-26744: Anonymný výskumník

Dátum pridania záznamu: 27. októbra 2022

GPU Drivers

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2022-32903: Anonymný výskumník

Dátum pridania záznamu: 27. októbra 2022

ImageIO

Dostupné pre: iPhone 8 a novší

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2022-1622

Dátum pridania záznamu: 27. októbra 2022

Image Processing

Dostupné pre: iPhone 8 a novší

Dopad: Apka v sandboxe môže byť schopná určiť, ktorá apka momentálne používa kameru

Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Dátum pridania záznamu: 27. októbra 2022

IOGPUFamily

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32887: Anonymný výskumník

Dátum pridania záznamu: 27. októbra 2022

Kernel

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2022-32916: Pan ZhenPeng (STAR Labs SG Pte. Ltd.

Dátum pridania záznamu: 9. novembra 2022

Kernel

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2022-32914: Zweig (Kunlun Lab)

Dátum pridania záznamu: 27. októbra 2022

Kernel

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

Dátum aktualizovania záznamu: 27. októbra 2022

Kernel

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra.

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2022-32917: Anonymný výskumník 

Maps

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Dostupné pre: iPhone 8 a novší

Dopad: Používateľ môže byť schopný zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2022-32908: Anonymný výskumník

Notifications

Dostupné pre: iPhone 8 a novší

Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný získať prístup ku kontaktom zo zamknutej obrazovky

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32879: Ubeydullah Sümer

Dátum pridania záznamu: 27. októbra 2022

Photos

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan (Pune, India)

Dátum pridania záznamu: 27. októbra 2022, dátum aktualizovania: 16. marca 2023

Safari

Dostupné pre: iPhone 8 a novší

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-32795: Narendra Bhati (Suma Soft Pvt. Ltd. v Pune (India), @imnarendrabhati)

Safari Extensions

Dostupné pre: iPhone 8 a novší

Dopad: Webová stránka môže byť schopná sledovať používateľov prostredníctvom webových rozšírení Safari

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Sandbox

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)

Dátum pridania záznamu: 27. októbra 2022

Security

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná obísť kontroly podpisu kódu

Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.

CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)

Dátum pridania záznamu: 27. októbra 2022

Shortcuts

Dostupné pre: iPhone 8 a novší

Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k fotkám zo zamknutej plochy

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32872: Elite Tech Guru

Sidecar

Dostupné pre: iPhone 8 a novší

Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-42790: Om kothawade (Zaprico Digital)

Dátum pridania záznamu: 27. októbra 2022

Siri

Dostupné pre: iPhone 8 a novší

Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný získať prístup k súkromným informáciám v kalendári pomocou Siri

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2022-32871: Amit Prajapat (Payatu Security Consulting Private Limited)

Dátum pridania záznamu: 16. marca 2023

Siri

Dostupné pre: iPhone 8 a novší

Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný použiť Siri na získanie niektorých informácií o histórii hovorov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32870: Andrew Goldberg z McCombs School of Business, University of Texas v Austine (linkedin.com/andrew-goldberg-/)

Dátum pridania záznamu: 27. októbra 2022

Software Update

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2022-42791: Mickey Jin (@patch1t, Trend Micro)

Dátum pridania záznamu: 9. novembra 2022

SQLite

Dostupné pre: iPhone 8 a novší

Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2021-36690

Dátum pridania záznamu: 27. októbra 2022

Time Zone

Dostupné pre: iPhone 8 a novší

Dopad: Vymazané kontakty sa môžu naďalej zobrazovať vo výsledkoch vyhľadávania Spotlightu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32859

Dátum pridania záznamu: 27. októbra 2022

Watch app

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná čítať perzistentný identifikátor zariadenia

Popis: Tento problém bol vyriešený vylepšením autorizácie.

CVE-2022-32835: Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)

Dátum pridania záznamu: 27. októbra 2022

Weather

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-32875: Anonymný výskumník

Dátum pridania záznamu: 27. októbra 2022

WebKit

Dostupné pre: iPhone 8 a novší

Dopad: Neautorizovaný používateľ môže byť schopný získať prístup k histórii prezerania

Popis: Dochádzalo k problému s cestami súborov používanými na ukladanie dát webových stránok. Tento problém bol vyriešený vylepšením spôsobu ukladania dát webových stránok.

CVE-2022-32833: Csaba Fitzl (@theevilbit, Offensive Security), Jeff Johnson

Dátum pridania záznamu: 9. novembra 2022

WebKit

Dostupné pre: iPhone 8 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Dátum pridania záznamu: 27. októbra 2022

WebKit

Dostupné pre: iPhone 8 a novší

Dopad: Návšteva stránky, ktorá obsahuje škodlivý obsah, môže viesť k sfalšovaniu používateľského rozhrania

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 a anonymný výskumník

Dátum pridania záznamu: 27. októbra 2022

WebKit

Dostupné pre: iPhone 8 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Dostupné pre: iPhone 8 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) v spolupráci s Trend Micro Zero Day Initiative

WebKit Sandboxing

Dostupné pre: iPhone 8 a novší

Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 a @jq0904 (WeBin lab, DBAppSecurity)

Dátum pridania záznamu: 27. októbra 2022

Wi-Fi

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-46709: Wang Yu (Cyberserval)

Dátum pridania záznamu: 16. marca 2023

Wi-Fi

Dostupné pre: iPhone 8 a novší

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2022-32925: Wang Yu z tímu Cyberserval

Dátum pridania záznamu: 27. októbra 2022

AirDrop

Poďakovanie za pomoc si zaslúžia Alexander Heinrich, Milan Stute a Christian Weinert z Technickej univerzity v Darmstadte.

Dátum pridania záznamu: 27. októbra 2022

AppleCredentialManager

Poďakovanie za pomoc si zaslúži @jonathandata1.

Dátum pridania záznamu: 27. októbra 2022

Calendar UI

Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale.

Dátum pridania záznamu: 27. októbra 2022

CoreGraphics

Poďakovanie za pomoc si zaslúži Simon de Vegt.

Dátum pridania záznamu: 9. novembra 2022

FaceTime

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

Find My

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

Game Center

Poďakovanie za pomoc si zaslúži Joshua Jones.

iCloud

Poďakovanie za pomoc si zaslúžia Bülent Aytulun a anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

Identity Services

Poďakovanie za pomoc si zaslúži Joshua Jones.

Kernel

Poďakovanie za pomoc si zaslúžia Pan ZhenPeng (@Peterpan0927), Tingting Yin z univerzity v Tsinghua, Min Zheng z tímu Ant Group a anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

Mail

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

Notes

Poďakovanie za pomoc si zaslúži Edward Riley zo spoločnosti Iron Cloud Limited (ironclouduk.com).

Dátum pridania záznamu: 27. októbra 2022

Photo Booth

Poďakovanie za pomoc si zaslúži Prashanth Kannan (Dremio).

Dátum pridania záznamu: 27. októbra 2022

Safari

Poďakovanie za pomoc si zaslúži Scott Hatfield z tímu Sub-Zero Group.

Dátum pridania záznamu: 16. marca 2023

Sandbox

Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.

Dátum pridania záznamu: 27. októbra 2022

Shortcuts

Poďakovanie za pomoc si zaslúži Shay Dror.

Dátum pridania záznamu: 27. októbra 2022

SOS

Poďakovanie za pomoc si zaslúžia Xianfeng Lu a Lei Ai z tímu OPPO Amber Security Lab.

Dátum pridania záznamu: 27. októbra 2022

UIKit

Poďakovanie za pomoc si zaslúžia Aleczander Ewing, Simon de Vegt a anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

WebKit

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022

WebRTC

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Dátum pridania záznamu: 27. októbra 2022