Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 16.1 a iPadOS 16
Dátum vydania: 24. októbra 2022
Apple Neural Engine
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32932: Mohamed Ghannam (@_simo36)
Dátum pridania záznamu: 27. októbra 2022
AppleMobileFileIntegrity
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Tento problém bol vyriešený odstránením dodatočných oprávnení.
CVE-2022-42825: Mickey Jin (@patch1t)
Apple TV
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2022-32909: Csaba Fitzl (@theevilbit) z tímu Offensive Security
Dátum pridania záznamu: 21. decembra 2023
Audio
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Analýza zvukového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42798: Hnutie Anonymous v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 27. októbra 2022
AVEVideoEncoder
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2022-32940: ABC Research s.r.o.
Backup
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná získať prístup k zálohám systému iOS
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2022-32929: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 27. októbra 2022
CFNetwork
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní zobrazenia WKWebView dochádzalo k problému s overením certifikátu. Tento problém bol vyriešený vylepšením overovania.
CVE-2022-42813: Jonathan Zhang (Open Computing Facility, ocf.berkeley.edu)
Core Bluetooth
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná nahrávať zvuk pomocou spárovaných slúchadiel AirPods
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený pridaním ďalších obmedzení sandboxu pre apky tretích strán.
CVE-2022-32945: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Dátum pridania záznamu: 22. decembra 2022
Core Bluetooth
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Apka môže byť schopná nahrávať zvuk pomocou páru pripojených slúchadiel AirPods
Popis: Tento problém bol vyriešený vylepšením autorizácie.
CVE-2022-32946: Guilherme Rambo (rambo.codes, Best Buddy Apps)
FaceTime
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Používateľ môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke
Popis: Dochádzalo k problému so zamknutou obrazovkou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32935: Bistrit Dahal
Dátum pridania záznamu: 27. októbra 2022
GPU Drivers
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Graphics Driver
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2022-32939: Willy R. Vasquez (Texaská univerzita v Austine)
Dátum pridania záznamu: 27. októbra 2022
IOHIDFamily
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Apka môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-42820: Peter Pan ZhenPeng (STAR Labs)
IOKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2022-42806: Tingting Yin (Tsinghua University)
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže spôsobiť neočakávané ukončenie systému alebo potenciálne spustiť kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-46712: Tommy Muir (@Muirey03)
Dátum pridania záznamu: 1. mája 2023
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-32944: Tim Michaud (@TimGMichaud) z tímu Moveworks.ai
Dátum pridania záznamu: 27. októbra 2022
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2022-42803: Xinru Chi z tímu Pangu Lab, John Aakerblom (@jaakerblom)
Dátum pridania záznamu: 27. októbra 2022
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2022-32926: Tim Michaud (@TimGMichaud, Moveworks.ai)
Dátum pridania záznamu: 27. októbra 2022
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-42801: Ian Beer z tímu Google Project Zero
Dátum pridania záznamu: 27. októbra 2022
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32924: Ian Beer (Google Project Zero)
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Vzdialený používateľ môže byť schopný spôsobiť spustenie kódu jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-42808: Zweig (Kunlun Lab)
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2022-42827: Anonymný výskumník
Model I/O
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Spracovanie súboru USD so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) a Yinyi Wu (Ant Security Light-Year Lab)
Dátum pridania záznamu: 27. októbra 2022
NetworkExtension
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná obísť určité nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-46715: IES Red Team (ByteDance)
Dátum pridania záznamu: 1. mája 2023
ppp
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42828: Anonymný výskumník
Dátum pridania záznamu: 31. októbra 2023
ppp
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Pretečenie buffera môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2022-32941: Anonymný výskumník
Dátum pridania záznamu: 27. októbra 2022
ppp
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2022-42829: Anonymný výskumník
ppp
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42830: Anonymný výskumník
ppp
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2022-42831: Anonymný výskumník
CVE-2022-42832: Anonymný výskumník
Safari
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku citlivých dát
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-42817: Mir Masood Ali, študent doktorandského štúdia na Illinoiskej univerzite v Chicagu; Binoy Chitale, študent magisterského štúdia na Stony Brook University; Mohammad Ghasemisharif, kandidát doktorandského štúdia na Illinoiskej univerzite v Chicagu; Chris Kanich, docent na Illinoiskej univerzite v Chicagu; Nick Nikiforakis, docent na Stony Brook University; Jason Polakis, docent na Illinoiskej univerzite v Chicagu
Dátum pridania záznamu: 27. októbra 2022, dátum aktualizovania: 31. októbra 2023
Sandbox
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení sandboxu.
CVE-2022-42811: Justin Bui (@slyd0g, Snowflake)
Shortcuts
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Skratka môže byť schopná skontrolovať existenciu ľubovoľnej cesty v súborovom systéme
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2022-32938: Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)
Weather
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2022-42792: Anonymný výskumník
Dátum pridania záznamu: 1. mája 2023
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Dátum pridania záznamu: 22. decembra 2022
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun, SSD Labs)
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab, Korea University), Dohyun Lee (@l33d0hyun, DNSLab, Korea University)
WebKit PDF
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123, Theori) v spolupráci s Trend Micro Zero Day Initiative
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže odhaliť interné stavy apky
Popis: Dochádzalo k problému so správnosťou v komponente JIT, ktorý bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) z tímu KAIST Hacking Lab
Dátum pridania záznamu: 27. októbra 2022
Wi-Fi
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Pripojenie k škodlivej Wi-Fi sieti môže viesť k odmietnutiu služby apky Nastavenia
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-32927: Dr Hideaki Goto (Univerzita Tohóku v Japonsku)
Dátum pridania záznamu: 27. októbra 2022
zlib
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší, iPad mini (5. generácia) a novší
Dopad: Používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Dátum pridania záznamu: 27. októbra 2022
Ďalšie poďakovanie
iCloud
Poďakovanie za pomoc si zaslúži Tim Michaud (@TimGMichaud, Moveworks.ai).
IOGPUFamily
Poďakovanie za pomoc si zaslúži Wang Yu (Cyberserval).
Dátum pridania záznamu: 31. októbra 2023
Image Processing
Poďakovanie za pomoc si zaslúži Tingting Yin (Univerzita Čching-chua).
Dátum pridania záznamu: 1. mája 2023
Kernel
Poďakovanie za pomoc si zaslúžia Peter Nguyen (STAR Labs), Tim Michaud (@TimGMichaud, Moveworks.ai) a Tommy Muir (@Muirey03).
WebKit
Poďakovanie za pomoc si zaslúžia Maddie Stone (Google Project Zero), Narendra Bhati (@imnarendrabhati, Suma Soft Pvt. Ltd.) a anonymný výskumník.