Om säkerhetsinnehållet i iOS 15.7.6 och iPadOS 15.7.6
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 15.7.6 och iPadOS 15.7.6.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 15.7.6 och iPadOS 15.7.6
Släpptes 18 maj 2023
Accessibility
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-32388: Kirin (@Pwnrin)
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: En app kan få högre behörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-32425: Mohamed Ghannam (@_simo36)
Lades till 21 december 2023
CoreCapture
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-28181: Tingting Yin på Tsinghua University
ImageIO
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) i samarbete med Trend Micro Zero Day Initiative
IOSurface
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan läcka känsliga kerneltillstånd
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32410: Hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app i sandlådeläge kanske kan observera nätverksanslutningar i hela systemet
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) på Synacktiv (@Synacktiv) i samarbete med Trend Micro Zero Day Initiative
Kernel
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-32398: Adam Doupé på ASU SEFCOM
Metal
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
NetworkExtension
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-32403: Adam M.
Uppdaterades 21 december 2023
Photos
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Skaka för att ångra kan leda till att en raderad bild dyker upp igen utan att den autentiserats
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-32365: Jiwon Park
Shell
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-32391: Wenchao Li och Xiaolong Bai på Alibaba Group
Telephony
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-32412: Ivan Fratric på Google Project Zero
TV App
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-32408: Adam M.
WebKit
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan avslöja känslig information. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
WebKit Bugzilla: 254930
CVE-2023-28204: En anonym forskare
WebKit
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 254840
CVE-2023-32373: En anonym forskare
Ytterligare tack
libxml2
Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.
Reminders
Vi vill tacka Kirin (@Pwnrin) för hjälpen.
Security
Vi vill tacka James Duffy (mangoSecure) för hjälpen.
Wi-Fi
Vi vill tacka Adam M. för hjälpen.
Uppdaterades 21 december 2023
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.