Om säkerhetsinnehållet i iOS 15.7 och iPadOS 15.7

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 15.7 och iPadOS 15.7.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

iOS 15.7 och iPadOS 15.7

Släpptes 12 september 2022

Apple Neural Engine

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

Lades till 27 oktober 2022

Audio

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kan få högre behörighet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2022-42796: Mickey Jin (@patch1t)

Lades till 27 oktober 2022, uppdaterades 1 maj 2023

Backup

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kan komma åt iOS-säkerhetskopior

Beskrivning: ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2022-32929: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 27 oktober 2022

Contacts

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kan kringgå inställningar för Integritet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2022-32854: Holger Fuhrmannek på Deutsche Telekom Security

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32911: Zweig på Kunlun Lab

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kan avslöja kernelminnet

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32864: Linus Henze på Pinauten GmbH (pinauten.de)

Kernel

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kan köra opålitlig kod med kernelbehörighet. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: problemet hanterades med förbättrade gränskontroller.

CVE-2022-32917: en anonym forskare

Maps

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en app kanske kan läsa känslig platsinformation

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32883: Ron Masas, breakpointhq.com

MediaLibrary

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en användare kanske kan öka behörigheter

Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2022-32908: en anonym forskare

Notifications

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En användare med fysisk åtkomst till en enhet kan komma åt kontakter från låsskärmen

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32879: Ubeydullah Sümer

Lades till 27 oktober 2022

Safari

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2022-32795: Narendra Bhati på Suma Soft Pvt. Ltd. Pune (Indien) @imnarendrabhati

Safari Extensions

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en webbplats kanske kan spåra användare via Safari-webbtillägg

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 242278
CVE-2022-32868: Michael

Security

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En app kan kringgå kodsigneringskontroller

Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.

CVE-2022-42793: Linus Henze på Pinauten GmbH (pinauten.de)

Lades till 27 oktober 2022

Shortcuts

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt bilder från låsskärmen

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32872: Elite Tech Guru

Sidecar

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: En användare kan visa begränsat innehåll via låsskärmen

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42790: Om kothawade på Zaprico Digital

Lades till 27 oktober 2022

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

Lades till 27 oktober 2022

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc

WebKit

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) på Theori i samarbete med Trend Micro Zero Day Initiative

WebKit Sandboxing

Tillgängligt för: iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad (5:e generationen och senare), iPad mini 4 och senare och iPod touch (7:e generationen)

Effekt: en process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett åtkomstproblem åtgärdades med förbättringar av sandlådeläget.

WebKit Bugzilla: 243181
CVE-2022-32892: @18楼梦想改造家 och @jq0904 på DBAppSecurity's WeBin lab

Lades till 27 oktober 2022

Ytterligare tack

AppleCredentialManager

Vi vill tacka @jonathandata1 för hjälpen.

Lades till 27 oktober 2022

FaceTime

Vi vill tacka en anonym forskare för hjälpen.

Lades till 27 oktober 2022

Game Center

Vi vill tacka Joshua Jones för hjälpen.

Identity Services

Vi vill tacka Joshua Jones för hjälpen.

Kernel

Vi vill tacka en anonym forskare för hjälpen.

Lades till 27 oktober 2022

WebKit

Vi vill tacka en anonym forskare för hjälpen.

Lades till 27 oktober 2022

WebRTC

Vi vill tacka en anonym forskare för hjälpen.

Lades till 27 oktober 2022

 

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: