Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 17.2 a iPadOS 17.2
Dátum vydania: 11. decembra 2023
Accessibility
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-42937: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Dátum pridania záznamu: 22. januára 2024
Accounts
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-42896: Mickey Jin (@patch1t)
Dátum pridania záznamu: 22. marca 2024
AVEVideoEncoder
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42884: Anonymný výskumník
Bluetooth
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Útočník so sieťovými oprávneniami môže byť schopný vkladať stlačenia klávesov predstieraním použitia klávesnice
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-45866: Marc Newlin z tímu SkySafe
Dátum pridania záznamu: 11. decembra 2023
Bluetooth
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Útočník s oprávneniami v sieti môže byť schopný vykonať útok zameraný na odmietnutie služby pomocou upravených paketov Bluetooth
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42941: Christopher Reynolds
Dátum pridania záznamu: 10. januára 2024
CallKit
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol
CVE-2023-42962: Aymane Chabat
Dátum pridania záznamu: 22. marca 2024
Find My
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42922: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
ImageIO
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin a Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM a Junsung Lee
Dátum aktualizovania záznamu: 22. marca 2024
ImageIO
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42888: Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 22. januára 2024
IOUSBDeviceFamily
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.
Dátum aktualizovania záznamu: 22. marca 2024
Kernel
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv)
Libsystem
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.
CVE-2023-42893
Dátum pridania záznamu: 22. marca 2024
Safari Private Browsing
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Prístup k tabom anonymného prezerania je možný bez overenia
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-42923: ARJUN S D
Sandbox
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42936
Dátum pridania záznamu: 22. marca 2024
Siri
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42897: Andrew Goldberg z McCombs School of Business, University of Texas v Austine (linkedin.com/andrew-goldberg-/)
TCC
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2023-42947: Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab spoločnosti JingDong
Dátum pridania záznamu: 22. marca 2024
WebKit
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) z tímu 360 Vulnerability Research Institute a rushikesh nandedkar
Dátum pridania záznamu: 22. marca 2024
WebKit
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Dátum pridania záznamu: 22. marca 2024
Ďalšie poďakovanie
Safari Private Browsing
Poďakovanie za pomoc si zaslúžia Joshua Lund zo Signal Technology Foundation a Iakovos Gurulian.
Dátum aktualizovania záznamu: 22. marca 2024
Setup Assistant
Poďakovanie za pomoc si zaslúži Aaron Gregory z Acoustic.com a Eastern Illinois University – Graduate School of Technology.
WebKit
Poďakovanie za pomoc si zaslúži 椰椰.
WebSheet
Poďakovanie za pomoc si zaslúži Paolo Ruggero zo spoločnosti e-phors S.p.A. (A FINCANTIERI S.p.A.).
Dátum pridania záznamu: 22. marca 2024
Wi-Fi
Poďakovanie za pomoc si zaslúžia Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab).