Om säkerhetsinnehållet i iOS 15.7.4 och iPadOS 15.7.4
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 15.7.4 och iPadOS 15.7.4.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 15.7.4 och iPadOS 15.7.4
Släpptes 27 mars 2023
Accessibility
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan få åtkomst till information om en användares kontakter
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-23541: Csaba Fitzl (@theevilbit) på Offensive Security
Calendar
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Import av en skadlig kalenderinbjudan kan sprida användarinformation
Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app i sandlådeläge kan fastställa vilken app som just nu använder kameran
Beskrivning: Problemet åtgärdades med ytterligare begränsningar för visning av applägen.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27936: Tingting Yin på Tsinghua University
Find My
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-23537: Adam M.
Posten uppdaterades 21 december 2023
FontParser
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27956: Ye Zhang på Baidu Security
FontParser
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en typsnittsfil kan leda till opålitlig kodkörning
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32366: Ye Zhang (@VAR10CK) på Baidu Security
Posten lades till 21 december 2023
Identity Services
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan få åtkomst till information om en användares kontakter
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-27928: Csaba Fitzl (@theevilbit) på Offensive Security
ImageIO
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23535: Ryuzaki
Kernel
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan avslöja kernelminnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Lades till 1 maj 2023
Kernel
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan avslöja kernelminnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-27969: Adam Doupé på ASU SEFCOM
Kernel
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-23536: Félix Poulin-Bélanger och David Pan Ogea
Lades till 1 maj 2023, uppdaterades 21 december 2023
Kernel
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan orsaka ett DoS-angrepp
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-28185: Pan ZhenPeng på STAR Labs SG Pte. Ltd.
Posten lades till 21 december 2023
libpthread
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
CVE-2023-41075: Zweig på Kunlun Lab
Posten lades till 21 december 2023
Model I/O
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27949: Mickey Jin (@patch1t)
Model I/O
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27950: Mickey Jin (@patch1t)
Posten lades till 21 december 2023
NetworkExtension
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En användare i en behörig nätverksposition kanske kan förfalska en VPN-server som är konfigurerad med endast EAP-autentisering på en enhet
Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin på TRS Group Of Companies, samt Wenchao Li och Xiaolong Bai på Alibaba Group
WebKit
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En webbplats kan spåra känslig användarinformation
Beskrivning: Problemet åtgärdades genom att ta bort information om ursprung.
WebKit Bugzilla: 250837
CVE-2023-27954: en anonym forskare
WebKit
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
WebKit Bugzilla: 251944
CVE-2023-23529: en anonym forskare
WebKit
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 250429
CVE-2023-28198: hazbinhotel i samarbete med Trend Micro Zero Day Initiative
Posten lades till 21 december 2023
WebKit PDF
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
WebKit Bugzilla: 249169
CVE-2023-32358: Anonym i samarbete med Trend Micro Zero Day Initiative
Posten lades till 21 december 2023
WebKit Web Inspector
Tillgängligt för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) på SSD Labs
Lades till 1 maj 2023
Ytterligare tack
Vi vill tacka Fabian Ising på FH Münster University of Applied Sciences, Damian Poddebniak på FH Münster University of Applied Sciences, Tobias Kappert på Münster University of Applied Sciences, Christoph Saatjohann på Münster University of Applied Sciences och Sebastian Schinzel på Münster University of Applied Sciences för hjälpen.
Uppdaterades 1 maj 2023
WebKit Web Inspector
Vi vill tacka Dohyun Lee (@l33d0hyun) och crixer (@pwning_me) på SSD Labs för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.