Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 15.7.8 a iPadOS 15.7.8
Dátum vydania: 24. júla 2023
Accessibility
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-40442: Nick Brook
Dátum pridania záznamu: 8. septembra 2023
Apple Neural Engine
Dostupné pre zariadenia s modulom Apple Neural Engine: iPhone 8 a novší, iPad Pro (3. generácia a novšia), iPad Air (3. generácia a novšia) a iPad mini (5. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-34425: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Dátum pridania záznamu: 27. júla 2023
Apple Neural Engine
Dostupné pre zariadenia s modulom Apple Neural Engine: iPhone 8 a novší, iPad Pro (3. generácia a novšia), iPad Air (3. generácia a novšia) a iPad mini (5. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CFNetwork
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-40392: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Dátum pridania záznamu: 8. septembra 2023
Find My
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2023-32416: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
FontParser
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Spracovanie súboru písma môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) a Boris Larin (@oct0xor) zo spoločnosti Kaspersky
Dátum pridania záznamu: 8. septembra 2023
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38603: Zweig z tímu Kunlun Lab
Dátum pridania záznamu: 27. júla 2023
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-38590: Zweig (Kunlun Lab)
Dátum pridania záznamu: 27. júla 2023
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Dátum pridania záznamu: 27. júla 2023
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-36495: 香农的三蹦子 (Pangu Lab)
Dátum pridania záznamu: 27. júla 2023
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Dátum pridania záznamu: 27. júla 2023
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2023-38604: Anonymný výskumník
Dátum pridania záznamu: 27. júla 2023
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) z tímu STAR Labs SG Pte. Ltd.
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná upravovať citlivé informácie o stave jadra. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), a Boris Larin (@oct0xor) zo spoločnosti Kaspersky
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2023-32433: Zweig (Kunlun Lab)
CVE-2023-35993: Kaitao Xie a Xiaolong Bai (Alibaba Group)
Kernel
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dosah: Vzdialený používateľ môže byť schopný spôsobiť odopretie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38603: Zweig z tímu Kunlun Lab
Dátum pridania záznamu: 22. decembra 2023
libxpc
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-38593: Noah Roskin-Frazee
Dátum pridania záznamu: 27. júla 2023
libxpc
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná získať oprávnenia používateľa root
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2023-38565: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 27. júla 2023
Security
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná identifikovať používateľa
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42831: James Duffy (mangoSecure)
Dátum pridania záznamu: 22. decembra 2023
Weather
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Apka môže byť schopná určiť aktuálnu polohu používateľa
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-38605: Adam M.
Dátum pridania záznamu: 8. septembra 2023
WebKit
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Webová stránka môže byť schopná sledovať citlivé používateľské informácie
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin a Yuval Yarom
Dátum pridania záznamu: 27. júla 2023
WebKit
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Spracovanie dokumentu môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Dátum pridania záznamu: 27. júla 2023
WebKit
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 259231
CVE-2023-37450: Anonymný výskumník
Dátum pridania záznamu: 27. júla 2023
WebKit
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Webová stránka môže byť schopná obísť mechanizmus SOP (Same Origin Policy)
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) zo spoločnosti Suma Soft Pvt. Ltd, Pune – India
WebKit
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Vzdialený útočník môže byť schopný pracovať mimo sandboxu pre webový obsah. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne (Threat Analysis Group, Google) a Donncha Ó Cearbhaill (Security Lab, Amnesty International)
WebKit
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Process Model
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성 (Junsung Lee) z tímu Cross Republic
WebKit Web Inspector
K dispozícii pre: iPhone 6s (všetky modely), iPhone 7 (všetky modely), iPhone SE (1. generácia), iPad Air 2, iPad mini (4. generácia) a iPod touch (7. generácia)
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Ďalšie poďakovanie
Poďakovanie za pomoc si zaslúži Parvez Anwar.
Screenshots
Poďakovanie za pomoc si zaslúžia Eric Williams (@eric5310pub), Yannik Bloscheck (yannikbloscheck.com), Dametto Luca a Casati Jacopo.
Dátum pridania záznamu: 8. septembra 2023
WebKit
Poďakovanie za pomoc si zaslúži Narendra Bhati (twitter.com/imnarendrabhati) zo spoločnosti Suma Soft Pvt. Ltd v Pune – India.
Dátum pridania záznamu: 27. júla 2023
WebRTC
Poďakovanie za pomoc si zaslúži anonymný výskumník.