Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 16
Dátum vydania: 12. septembra 2022
Accelerate Framework
Dostupné pre: iPhone 8 a novší
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42795: ryuzaki
Dátum pridania záznamu: 27. októbra 2022
AppleAVD
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32827: Antonio Zekic (@antoniozekic), Natalie Silvanovich z tímu Google Project Zero a anonymný výskumník
Dátum pridania záznamu: 27. októbra 2022
AppleAVD
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32907: Natalie Silvanovich z tímu Google Project Zero, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom), ABC Research s.r.o., Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Dátum pridania záznamu: 27. októbra 2022
AppleMobileFileIntegrity
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2022-32877: Wojciech Reguła (@_r3ggi) z tímu SecuRing
Dátum pridania záznamu: 16. marca 2023
Apple Neural Engine
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Dátum pridania záznamu: 27. októbra 2022
Apple Neural Engine
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Dátum pridania záznamu: 27. októbra 2022
Apple TV
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2022-32909: Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 27. októbra 2022
Contacts
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32854: Holger Fuhrmannek z bezpečnostného tímu spoločnosti Deutsche Telekom
Crash Reporter
Dostupné pre: iPhone 8 a novší
Dopad: Používateľ s fyzickým prístupom k iOS zariadeniu môže byť schopný čítať minulé diagnostické protokoly
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2022-32867: Kshitij Kumar a Jai Musunuri (Crowdstrike)
Dátum pridania záznamu: 27. októbra 2022
DriverKit
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32865: Linus Henze (Pinauten GmbH, pinauten.de)
Dátum pridania záznamu: 27. októbra 2022
Exchange
Dostupné pre: iPhone 8 a novší
Dopad: Používateľ s oprávneniami v sieti môže byť schopný zachytávať prihlasovacie údaje apky Mail
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)
Dátum pridania záznamu: 27. októbra 2022, dátum aktualizovania: 16. marca 2023
FaceTime
Dostupné pre: iPhone 8 a novší
Dopad: Používateľ môže vo FaceTime hovore odoslať audio a video bez toho, aby o tom vedel
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-22643: Sonali Luthar (University of Virginia), Michael Liao (University of Illinois v Urbana-Champaign), Rohan Pahwa (Rutgers University) a Bao Nguyen (University of Florida)
Dátum pridania záznamu: 16. marca 2023
GPU Drivers
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k viacerým problémom so zápisom dát mimo buffera, ktoré boli vyriešené vylepšením kontroly rozsahu.
CVE-2022-32793: Anonymný výskumník
Dátum pridania záznamu: 16. marca 2023
GPU Drivers
Dostupné pre: iPhone 8 a novší
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-26744: Anonymný výskumník
Dátum pridania záznamu: 27. októbra 2022
GPU Drivers
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-32903: Anonymný výskumník
Dátum pridania záznamu: 27. októbra 2022
ImageIO
Dostupné pre: iPhone 8 a novší
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému s odopretím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2022-1622
Dátum pridania záznamu: 27. októbra 2022
Image Processing
Dostupné pre: iPhone 8 a novší
Dopad: Apka v sandboxe môže byť schopná určiť, ktorá apka momentálne používa kameru
Popis: Problém bol vyriešený dodatočnými obmedzeniami pozorovateľnosti stavov apiek.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Dátum pridania záznamu: 27. októbra 2022
IOGPUFamily
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32887: Anonymný výskumník
Dátum pridania záznamu: 27. októbra 2022
Kernel
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-32916: Pan ZhenPeng (STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 9. novembra 2022
Kernel
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-32914: Zweig (Kunlun Lab)
Dátum pridania záznamu: 27. októbra 2022
Kernel
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Dátum aktualizovania záznamu: 27. októbra 2022
Kernel
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra.
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2022-32917: Anonymný výskumník
Maps
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Dostupné pre: iPhone 8 a novší
Dopad: Používateľ môže byť schopný zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-32908: Anonymný výskumník
Notifications
Dostupné pre: iPhone 8 a novší
Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný získať prístup ku kontaktom zo zamknutej obrazovky
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32879: Ubeydullah Sümer
Dátum pridania záznamu: 27. októbra 2022
Photos
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2022-32918: Ashwani Rajput (Nagarro Software Pvt. Ltd), Srijan Shivam Mishra (The Hack Report), Jugal Goradia (Aastha Technologies), Evan Ricafort (evanricafort.com, Invalid Web Security), Shesha Sai C (linkedin.com/in/shesha-sai-c-18585b125), Amod Raghunath Patwardhan (Pune, India)
Dátum pridania záznamu: 27. októbra 2022, dátum aktualizovania: 16. marca 2023
Safari
Dostupné pre: iPhone 8 a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-32795: Narendra Bhati (Suma Soft Pvt. Ltd. v Pune (India), @imnarendrabhati)
Safari Extensions
Dostupné pre: iPhone 8 a novší
Dopad: Webová stránka môže byť schopná sledovať používateľov prostredníctvom webových rozšírení Safari
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Sandbox
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 27. októbra 2022
Security
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná obísť kontroly podpisu kódu
Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-42793: Linus Henze (Pinauten GmbH, pinauten.de)
Dátum pridania záznamu: 27. októbra 2022
Shortcuts
Dostupné pre: iPhone 8 a novší
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup k fotkám zo zamknutej plochy
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2022-32872: Elite Tech Guru
Sidecar
Dostupné pre: iPhone 8 a novší
Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-42790: Om kothawade (Zaprico Digital)
Dátum pridania záznamu: 27. októbra 2022
Siri
Dostupné pre: iPhone 8 a novší
Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný získať prístup k súkromným informáciám v kalendári pomocou Siri
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2022-32871: Amit Prajapat (Payatu Security Consulting Private Limited)
Dátum pridania záznamu: 16. marca 2023
Siri
Dostupné pre: iPhone 8 a novší
Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný použiť Siri na získanie niektorých informácií o histórii hovorov
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32870: Andrew Goldberg z McCombs School of Business, University of Texas v Austine (linkedin.com/andrew-goldberg-/)
Dátum pridania záznamu: 27. októbra 2022
Software Update
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-42791: Mickey Jin (@patch1t, Trend Micro)
Dátum pridania záznamu: 9. novembra 2022
SQLite
Dostupné pre: iPhone 8 a novší
Dopad: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-36690
Dátum pridania záznamu: 27. októbra 2022
Time Zone
Dostupné pre: iPhone 8 a novší
Dopad: Vymazané kontakty sa môžu naďalej zobrazovať vo výsledkoch vyhľadávania Spotlightu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32859
Dátum pridania záznamu: 27. októbra 2022
Watch app
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná čítať perzistentný identifikátor zariadenia
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2022-32835: Guilherme Rambo z tímu Best Buddy Apps (rambo.codes)
Dátum pridania záznamu: 27. októbra 2022
Weather
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32875: Anonymný výskumník
Dátum pridania záznamu: 27. októbra 2022
WebKit
Dostupné pre: iPhone 8 a novší
Dopad: Neautorizovaný používateľ môže byť schopný získať prístup k histórii prezerania
Popis: Dochádzalo k problému s cestami súborov používanými na ukladanie dát webových stránok. Tento problém bol vyriešený vylepšením spôsobu ukladania dát webových stránok.
CVE-2022-32833: Csaba Fitzl (@theevilbit, Offensive Security), Jeff Johnson
Dátum pridania záznamu: 9. novembra 2022
WebKit
Dostupné pre: iPhone 8 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
Dátum pridania záznamu: 27. októbra 2022
WebKit
Dostupné pre: iPhone 8 a novší
Dopad: Návšteva stránky, ktorá obsahuje škodlivý obsah, môže viesť k sfalšovaniu používateľského rozhrania
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617 a anonymný výskumník
Dátum pridania záznamu: 27. októbra 2022
WebKit
Dostupné pre: iPhone 8 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Dostupné pre: iPhone 8 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) v spolupráci s Trend Micro Zero Day Initiative
WebKit Sandboxing
Dostupné pre: iPhone 8 a novší
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Problém s prístupom bol vyriešený vylepšením sandboxu.
WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 a @jq0904 (WeBin lab, DBAppSecurity)
Dátum pridania záznamu: 27. októbra 2022
Wi-Fi
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-46709: Wang Yu (Cyberserval)
Dátum pridania záznamu: 16. marca 2023
Wi-Fi
Dostupné pre: iPhone 8 a novší
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-32925: Wang Yu z tímu Cyberserval
Dátum pridania záznamu: 27. októbra 2022
Ďalšie poďakovanie
AirDrop
Poďakovanie za pomoc si zaslúžia Alexander Heinrich, Milan Stute a Christian Weinert z Technickej univerzity v Darmstadte.
Dátum pridania záznamu: 27. októbra 2022
AppleCredentialManager
Poďakovanie za pomoc si zaslúži @jonathandata1.
Dátum pridania záznamu: 27. októbra 2022
Calendar UI
Poďakovanie za pomoc si zaslúži Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale.
Dátum pridania záznamu: 27. októbra 2022
CoreGraphics
Poďakovanie za pomoc si zaslúži Simon de Vegt.
Dátum pridania záznamu: 9. novembra 2022
FaceTime
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 27. októbra 2022
Find My
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 27. októbra 2022
Game Center
Poďakovanie za pomoc si zaslúži Joshua Jones.
iCloud
Poďakovanie za pomoc si zaslúžia Bülent Aytulun a anonymný výskumník.
Dátum pridania záznamu: 27. októbra 2022
Identity Services
Poďakovanie za pomoc si zaslúži Joshua Jones.
Kernel
Poďakovanie za pomoc si zaslúžia Pan ZhenPeng (@Peterpan0927), Tingting Yin z univerzity v Tsinghua, Min Zheng z tímu Ant Group a anonymný výskumník.
Dátum pridania záznamu: 27. októbra 2022
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 27. októbra 2022
Notes
Poďakovanie za pomoc si zaslúži Edward Riley zo spoločnosti Iron Cloud Limited (ironclouduk.com).
Dátum pridania záznamu: 27. októbra 2022
Photo Booth
Poďakovanie za pomoc si zaslúži Prashanth Kannan (Dremio).
Dátum pridania záznamu: 27. októbra 2022
Safari
Poďakovanie za pomoc si zaslúži Scott Hatfield z tímu Sub-Zero Group.
Dátum pridania záznamu: 16. marca 2023
Sandbox
Poďakovanie za pomoc si zaslúži Csaba Fitzl (@theevilbit) z tímu Offensive Security.
Dátum pridania záznamu: 27. októbra 2022
Shortcuts
Poďakovanie za pomoc si zaslúži Shay Dror.
Dátum pridania záznamu: 27. októbra 2022
SOS
Poďakovanie za pomoc si zaslúžia Xianfeng Lu a Lei Ai z tímu OPPO Amber Security Lab.
Dátum pridania záznamu: 27. októbra 2022
UIKit
Poďakovanie za pomoc si zaslúžia Aleczander Ewing, Simon de Vegt a anonymný výskumník.
Dátum pridania záznamu: 27. októbra 2022
WebKit
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 27. októbra 2022
WebRTC
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 27. októbra 2022