Om säkerhetsinnehållet i iOS 15.6 och iPadOS 15.6
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 15.6 och iPadOS 15.6.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 15.6 och iPadOS 15.6
APFS
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en fjärranvändare kan orsaka körning av kernelkod
Beskrivning: ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2022-32788: Natalie Silvanovich på Google Project Zero
AppleAVD
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan avslöja kernelminnet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32824: Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32826: Mickey Jin (@patch1t) på Trend Micro
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2022-42805: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32948: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tillgänglig för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
CVE-2022-32829: Tingting Yin vid Tsinghua University och Min Zheng på Ant Group
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Audio
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-32820: en anonym forskare
Audio
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan avslöja kernelminnet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreMedia
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan avslöja kernelminnet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32828: Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom)
CoreText
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en fjärranvändare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs
Beskrivning: problemet hanterades med förbättrade gränskontroller.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan få rotbehörigheter
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32819: Joshua Mason på Mandiant
GPU Drivers
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan avslöja kernelminnet
Beskrivning: flera problem med skrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32793: en anonym forskare
GPU Drivers
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-32821: John Aakerblom (@jaakerblom)
Home
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En användare kan visa begränsat innehåll via låsskärmen
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32855: Zitong Wu(吴梓桐) från Zhuhai No.1 Middle School///(珠海市第一中学)
iCloud Photo Library
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan komma åt känslig användarinformation
Beskrivning: Ett problem med avslöjande av information åtgärdades genom borttagning av den sårbara koden.
CVE-2022-32849: Joshua Jones
ICU
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) på SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32841: hjy79425575
ImageIO
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2022-32802: Ivan Fratric på Google Project Zero, Mickey Jin (@patch1t)
ImageIO
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: bearbetning av en xml-fil med skadligt innehåll kan leda till att användarinformation avslöjas
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32830: Ye Zhang (@co0py_Cat) på Baidu Security
ImageIO
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: bearbetning av en bild kan leda till ett dos-angrepp
Beskrivning: En nullpekarreferens åtgärdades med förbättrad validering.
CVE-2022-32785: Yiğit Can YILMAZ (@yilmazcanyigit)
IOMobileFrameBuffer
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26768: en anonym forskare
JavaScriptCore
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: problemet hanterades med förbättrade gränskontroller.
CVE-2022-48503: Dongzhuo Zhao i samarbete med ADLab of Venustech och ZhaoHai på Cyberpeace Tech Co., Ltd.
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2022-32813: Xinru Chi på Pangu Lab
CVE-2022-32815: Xinru Chi på Pangu Lab
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan avslöja kernelminnet
Beskrivning: ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-32817: Xinru Chi på Pangu Lab
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app med godtycklig läs- och skrivkapacitet till kernel kan kringgå pekarautentisering
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app med godtycklig läs- och skrivkapacitet till kernel kan kringgå pekarautentisering
Beskrivning: ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan orsaka att appar avslutas oväntat eller att opålitlig kod körs
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC på China (nipc.org.cn)
libxml2
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan läcka känslig användarinformation
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2022-32823
Multi-Touch
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
PluginKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan läsa godtyckliga filer
Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32838: Mickey Jin (@patch1t) på Trend Micro
Safari Extensions
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data
Beskrivning: problemet hanterades med förbättrad hantering av användargränssnittet.
CVE-2022-32784: Young Min Kim från CompSec Lab på Seoul National University
Software Update
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en användare i en behörig nätverksposition kan spåra en användares aktivitet
Beskrivning: detta problem åtgärdades genom att använda HTTPS när information skickas över nätverket.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-32885: P1umer(@p1umer) och Q1IQ(@q1iqF)
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32863: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas
Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) på SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-32792: Manfred Paul (@_manfp) i samarbete med Trend Micro Zero Day Initiative
WebRTC
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-2294: Jan Vojtesek från Avast Threat Intelligence-teamet
Wi-Fi
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2022-32860: Wang Yu på Cyberserval
Wi-Fi
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-32837: Wang Yu på Cyberserval
Wi-Fi
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: en fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: problemet åtgärdades med förbättrade kontroller.
CVE-2022-32847: Wang Yu på Cyberserval
Ytterligare tack
802.1X
Vi vill tacka Shin Sun på National Taiwan University för hjälpen.
AppleMobileFileIntegrity
Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security, Mickey Jin (@patch1t) på Trend Micro och Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
configd
Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security, Mickey Jin (@patch1t) på Trend Micro och Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.