Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 15.7.6 a iPadOS 15.7.6
Dátum vydania: 18. mája 2023
Accessibility
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-32388: Kirin (@Pwnrin)
Apple Neural Engine
Dostupné pre zariadenia s modulom Apple Neural Engine: iPhone 8 a novší, iPad Pro (3. generácia a novšia), iPad Air (3. generácia a novšia) a iPad mini (5. generácia)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostupné pre zariadenia s modulom Apple Neural Engine: iPhone 8 a novší, iPad Pro (3. generácia a novšia), iPad Air (3. generácia a novšia) a iPad mini (5. generácia)
Dosah: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-32425: Mohamed Ghannam (@_simo36)
Dátum pridania záznamu: 21. decembra 2023
CoreCapture
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-28181: Tingting Yin (Univerzita Čching-chua)
ImageIO
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-32384: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOSurface
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka v sandboxe môže byť schopná sledovať sieťové pripojenia používané v celom systéme
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32398: Adam Doupé (ASU SEFCOM)
Metal
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
NetworkExtension
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-32403: Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023
Photos
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Funkcia Odvolať zatrasením môže znova zobraziť vymazanú fotku aj bez overenia
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32365: Jiwon Park
Shell
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dosah: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-32391: Wenchao Li a Xiaolong Bai (Alibaba Group)
Telephony
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32412: Ivan Fratric (Google Project Zero)
TV App
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-32408: Adam M.
WebKit
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 254930
CVE-2023-28204: Anonymný výskumník
WebKit
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 254840
CVE-2023-32373: Anonymný výskumník
Ďalšie poďakovanie
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Reminders
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Security
Poďakovanie za pomoc si zaslúži James Duffy (mangoSecure).
Wi-Fi
Poďakovanie za pomoc si zaslúži Adam M.
Dátum aktualizovania záznamu: 21. decembra 2023