Om säkerhetsinnehållet i iOS 16.7.2 och iPadOS 16.7.2.
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 16.7.2 och iPadOS 16.7.2.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 16.7.2 och iPadOS 16.7.2
Släpptes den 25 oktober 2023
CoreAnimation
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan orsaka ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40449: Tomi Tokics (@tomitokics) på iTomsn0w
Core Recents
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet löstes genom rensning av loggningar
CVE-2023-42823
Lades till 16 februari 2024
Find My
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-40413: Adam M.
ImageIO
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40416: JZ
ImageIO
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av en skadlig bild kan leda till heap-fel
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-42848: JZ
Lades till 16 februari 2024
IOTextEncryptionFamily
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40423: En anonym forskare
Kernel
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42849: Linus Henze på Pinauten GmbH (pinauten.de)
libc
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av indata med skadligt innehåll kan leda till körning av opålitlig kod i användarinstallerade appar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40446: inooo
Lades till 3 november 2023
libxpc
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En skadlig app kan tillskansa sig rotbehörighet
Beskrivning: Problemet åtgärdades genom förbättrad hantering av symlänkar.
CVE-2023-42942: Mickey Jin (@patch1t)
Lades till 16 februari 2024
Mail Drafts
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Dölj min e-postadress kan oväntat inaktiveras
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En enhet kan passivt spåras med hjälp av dess wifi-MAC-adress
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-42846: Talal Haj Bakry och Tommy Mysk på Mysk Inc. @mysk_co
Pro Res
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu och Guang Gong på 360 Vulnerability Research Institute
Pro Res
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu och Guang Gong på 360 Vulnerability Research Institute
Lades till 16 februari 2024
Safari
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Besök på en skadlig webbplats kan avslöja surfhistorik
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-41977: Alex Renda
Siri
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare med fysisk åtkomst kan använda Siri för att komma åt känsliga användardata
Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Uppdaterades 16 februari 2024
Weather
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan komma åt känsliga användardata
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-41254: Cristian Dinca på Tudor Vianu National High School of Computer Science i Rumänien
WebKit
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En användares lösenord kan läsas upp med VoiceOver
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) på Cross Republic
WebKit
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) och Vitor Pedreira (@0xvhp_) på Agile Information Security
Uppdaterades 16 februari 2024
WebKit
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)
WebKit
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Lades till 16 februari 2024
WebKit Process Model
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av webbinnehåll kan leda till ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)
Ytterligare tack
libxml2
Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.
libarchive
Vi vill tacka Bahaa Naamneh för hjälpen.
WebKit
Vi vill tacka en anonym forskare för hjälpen.
WebKit
Vi vill tacka Gishan Don Ranasinghe och en anonym forskare för hjälpen.
Lades till 16 februari 2024
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.
