Om säkerhetsinnehållet i iOS 15.5 och iPadOS 15.5
Det här dokumentet beskriver säkerhetsinnehållet i iOS 5.5 och iPadOS 15.5.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 15.5 och iPadOS 15.5
Släpptes 16 maj 2022
AppleAVD
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2022-26702: En anonym forskare, Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom)
Uppdaterades 16 mars 2023
AppleGraphicsControl
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2022-26751: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative
AVEVideoEncoder
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-26736: En anonym forskare
CVE-2022-26737: En anonym forskare
CVE-2022-26738: En anonym forskare
CVE-2022-26739: En anonym forskare
CVE-2022-26740: En anonym forskare
DriverKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-26763: Linus Henze på Pinauten GmbH (pinauten.de)
FaceTime
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app med rotbehörighet kan ha tillgång till privat information
Beskrivning: problemet åtgärdades genom att aktivera härdad exekvering.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) från SecuRing
Lades till 6 juli 2022
GPU Drivers
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26744: En anonym forskare
ImageIO
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2022-26711: Actae0n på Blacksun Hackers Club som arbetar med Trend Micro Zero Day Initiative
IOKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2022-26701: chenyuwang (@mzzzz__) på Tencent Security Xuanwu Lab
IOSurfaceAccelerator
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26771: En anonym forskare
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) på STAR Labs (@starlabs_sg)
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2022-26757: Ned Williamson på Google Project Zero
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-26764: Linus Henze på Pinauten GmbH (pinauten.de)
Kernel
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En angripare med godtycklig läs- och skrivkapacitet kan kringgå pekarautentisering
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26765: Linus Henze på Pinauten GmbH (pinauten.de)
LaunchServices
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för applikationer från tredje part.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or från Microsoft
Uppdaterades 6 juli 2022
libresolv
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En angripare kan orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2022-26775: Max Shavrick (@_mxms) på Googles säkerhetsteam
Lades till 21 juni 2022
libresolv
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En angripare kan orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-26708: Max Shavrick (@_mxms) på Googles säkerhetsteam
Lades till 21 juni 2022
libresolv
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En fjärrangripare kan orsaka ett dos-angrepp
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-32790: Max Shavrick (@_mxms) på Googles säkerhetsteam
Lades till 21 juni 2022
libresolv
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En angripare kan orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-26776: Max Shavrick (@_mxms) på Googles säkerhetsteam, Zubair Ashraf på Crowdstrike
Lades till 21 juni 2022
libxml2
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2022-23308
Notes
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Bearbetning av större mängd indata kan leda till ett DoS-angrepp
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College Of Technology Bhopal
Safari Private Browsing
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En skadlig webbplats kan spåra användare som använder privat surfning i Safari
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26731: En anonym forskare
Security
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En skadlig app kanske kan kringgå signaturvalidering
Beskrivning: Ett problem med att analysera certifikat åtgärdades med förbättrade kontroller.
CVE-2022-26766: Linus Henze på Pinauten GmbH (pinauten.de)
Shortcuts
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt bilder från låsskärmen
Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26703: Salman Syed (@slmnsd551)
Spotlight
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan få högre behörighet
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2022-26704: Gergely Kalman (@gergely_kalman) och Joshua Mason på Mandiant
Lades till 21 december 2023
TCC
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-26726: Antonio Cheong Yu Xuan på YCISCQ
Lades till 16 mars 2023
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 238178
CVE-2022-26700: Ryuzaki
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou på ShuiMuYuLin Ltd och Tsinghua wingtecher lab
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou på ShuiMuYuLin Ltd och Tsinghua wingtecher lab
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin på Theori
WebKit
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) på Kunlun Lab
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao som arbetar med ADLab på Venustech
WebRTC
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Förhandsvisning av hur du ser ut på video i ett webRTC-samtal kan avbrytas om användaren svarar på ett telefonsamtal
Beskrivning: Ett logiskt problem i hanteringen av samtidiga medier åtgärdades med förbättrad tillståndshantering.
WebKit Bugzilla: 237524
CVE-2022-22677: En anonym forskare
Wi-Fi
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En skadlig app kan leda till att begränsat minne avslöjas
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2022-26745: Scarlet Raine
Uppdaterades 6 juli 2022
Wi-Fi
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En app med skadligt innehåll kan höja behörigheter
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-26760: 08Tc3wBB på ZecOps Mobile EDR Team
Wi-Fi
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2015-4142: Kostya Kortchinsky på Googles säkerhetsteam
Wi-Fi
Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2022-26762: Wang Yu på Cyberserval
Ytterligare tack
AppleMobileFileIntegrity
Vi vill tacka Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
FaceTime
Vi vill tacka Wojciech Reguła (@_r3ggi) på SecuRing för hjälpen.
FileVault
Vi vill tacka Benjamin Adolphi på Promon Germany GmbH för hjälpen.
Lades till 16 mars 2023
WebKit
Vi vill tacka James Lee och en anonym forskare för hjälpen.
Uppdaterades 25 maj 2022
Wi-Fi
Vi vill tacka 08Tc3wBB på ZecOps Mobile EDR Team för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.