Obsah zabezpečenia v systémoch iOS 16.7.2 a iPadOS 16.7.2
V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 16.7.2 a iPadOS 16.7.2.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 16.7.2 a iPadOS 16.7.2
Dátum vydania: 25. októbra 2023
CoreAnimation
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spôsobiť odopretie služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40449: Tomi Tokics (@tomitokics) z tímu iTomsn0w
Core Recents
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vyčistením protokolovania.
CVE-2023-42823
Dátum pridania záznamu: 16. februára 2024
Find My
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-40413: Adam M.
ImageIO
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40416: JZ
ImageIO
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42848: JZ
Dátum pridania záznamu: 16. februára 2024
IOTextEncryptionFamily
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40423: Anonymný výskumník
Kernel
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Útočník, ktorý už dosiahol spustenie kódu v režime jadra, môže byť schopný obísť bezpečnostné opatrenia v pamäti jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42849: Linus Henze z tímu Pinauten GmbH (pinauten.de)
libc
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie škodlivého vstupu môže mať za následok spustenie ľubovoľného kódu v apkách nainštalovaných používateľom
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-40446: inooo
Dátum pridania záznamu: 3. novembra 2023
libxpc
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k oprávneniam používateľa root
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2023-42942: Mickey Jin (@patch1t)
Dátum pridania záznamu: 16. februára 2024
Mail Drafts
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Funkcia Skryť môj email sa môže neočakávane deaktivovať
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2023-42846: Talal Haj Bakry a Tommy Mysk z tímu Mysk Inc. @mysk_co
Pro Res
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Pro Res
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2023-42873: Mingxuan Yang (@PPPF00L) a happybabywu a Guang Gong z tímu 360 Vulnerability Research Institute
Dátum pridania záznamu: 16. februára 2024
Safari
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k odhaleniu histórie prehliadania
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2023-41977: Alex Renda
Siri
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa
Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Dátum aktualizovania záznamu: 16. februára 2024
Weather
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-41254: Cristian Dinca (Colegiul Național de Informatică Tudor Vianu, Rumunsko)
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Funkcia VoiceOver môže prečítať nahlas heslo používateľa
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) z tímu Cross Republic
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) a Vitor Pedreira (@0xvhp_) z tímu Agile Information Security
Dátum aktualizovania záznamu: 16. februára 2024
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Opis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Dátum pridania záznamu: 16. februára 2024
WebKit Process Model
Dostupné pre: iPhone 8 a novší, iPad Pro (všetky modely), iPad Air (3. generácia) a novší, iPad (5. generácia) a novší a iPad mini (5. generácia) a novší
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성 (Junsung Lee)
Ďalšie poďakovanie
libxml2
Poďakovanie za pomoc si zaslúžia OSS-Fuzz a Ned Williamson (Google Project Zero).
libarchive
Poďakovanie za pomoc si zaslúži Bahaa Naamneh.
WebKit
Poďakovanie za pomoc si zaslúži anonymný výskumník.
WebKit
Poďakovanie za pomoc si zaslúžia Gishan Don Ranasinghe a anonymný výskumník.
Dátum pridania záznamu: 16. februára 2024
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.