Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 16.7 a iPadOS 16.7
Dátum vydania: 21. septembra 2023
App Store
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia a novší), iPad (5. generácia a novší) a iPad mini (5. generácia a novší)
Dopad: Vzdialený útočník môže byť schopný pracovať mimo sandboxu pre webový obsah
Popis: Tento problém bol vyriešený vylepšením spracovania protokolov.
CVE-2023-40448: w0wbox
Dátum pridania záznamu: 26. septembra 2023
Ask to Buy
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-38612: Chris Ross (Zoom)
Dátum pridania záznamu: 22. decembra 2023
Biometric Authentication
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2023-41232: Liang Wei z tímu PixiePoint Security
Dátum pridania záznamu: 26. septembra 2023
CoreAnimation
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40420: 이준성 (Junsung Lee) z tímu Cross Republic
Dátum pridania záznamu: 26. septembra 2023
Core Image
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže mať prístup k upraveným fotkám uloženým v dočasnom adresári
Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-40438: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
Dátum pridania záznamu: 22. decembra 2023
Game Center
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná získať prístup ku kontaktom
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-40395: Csaba Fitzl (@theevilbit, Offensive Security)
Dátum pridania záznamu: 26. septembra 2023
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) zo spoločnosti STAR Labs SG Pte. Ltd.
Dátum pridania záznamu: 26. septembra 2023
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dosah: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-41981: Linus Henze zo spoločnosti Pinauten GmbH (pinauten.de)
Dátum pridania záznamu: 26. septembra 2023
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS starších ako iOS 16.7.
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-41992: Bill Marczak z tímu The Citizen Lab na Munk School v rámci torontskej univerzity a Maddie Stone zo skupiny Threat Analysis Group spoločnosti Google
libxpc
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-41073: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 26. septembra 2023
libxpc
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná vymazať súbory, pri ktorých na to nemá povolenie
Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2023-40454: Zhipeng Huo (@R3dF09) z tímu Tencent Security Xuanwu Lab (xlab.tencent.com)
Dátum pridania záznamu: 26. septembra 2023
libxslt
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu môže viesť k odhaleniu citlivých informácií
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) zo spoločnosti PK Security
Dátum pridania záznamu: 26. septembra 2023
MobileStorageMounter
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.
CVE-2023-41068: Mickey Jin (@patch1t)
Dátum pridania záznamu: 26. septembra 2023
Passkeys
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Útočník môže byť schopný bez oprávnenia získať prístup k prihlasovacím kľúčom
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2023-40401: Anonymný výskumník a weize she
Dátum pridania záznamu: 22. decembra 2023
Pro Res
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-41063: Tím Certik Skyfall
Dátum pridania záznamu: 26. septembra 2023
Safari
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná určiť, aké ďalšie apky má používateľ nainštalované
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-35990: Adriatik Raci z tímu Sentry Cybersecurity
Dátum pridania záznamu: 26. septembra 2023
Security
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dosah: Aplikácia so škodlivým kódom môže byť schopná obísť overenie podpisu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS starších ako iOS 16.7.
Popis: Bol vyriešený problém s overovaním certifikátov.
CVE-2023-41991: Bill Marczak z tímu The Citizen Lab na Munk School v rámci torontskej univerzity a Maddie Stone zo skupiny Threat Analysis Group spoločnosti Google
Share Sheet
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná získať prístup k citlivým dátam, ktoré sa zaznamenajú, keď používateľ zdieľa odkaz
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2023-41070: Kirin (@Pwnrin)
Dátum pridania záznamu: 26. septembra 2023
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť aktívne zneužívaný vo verziách systému iOS vydaných pred verziou iOS 16.7.
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak z tímu The Citizen Lab na Munk School v rámci torontskej univerzity a Maddie Stone zo skupiny Threat Analysis Group spoločnosti Google
Ďalšie poďakovanie
Apple Neural Engine
Poďakovanie za pomoc si zaslúži pattern-f (@pattern_F_) z tímu Ant Security Light-Year Lab.
Dátum pridania záznamu: 22. decembra 2023
AppSandbox
Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).
Dátum pridania záznamu: 26. septembra 2023
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
Dátum pridania záznamu: 26. septembra 2023
Kernel
Poďakovanie za pomoc si zaslúžia Bill Marczak z tímu The Citizen Lab na univerzite The University of Toronto's Munk School a Maddie Stone z tímu Google's Threat Analysis Group.
WebKit
Poďakovanie za pomoc si zaslúžia Khiem Tran, Narendra Bhati zo spoločnosti Suma Soft Pvt. Ltd, Pune (India).
Dátum pridania záznamu: 26. septembra 2023
WebRTC
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Dátum pridania záznamu: 26. septembra 2023