Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 16.1 och iPadOS 16
Släpptes 24 oktober 2022
Apple Neural Engine
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-32932: Mohamed Ghannam (@_simo36)
Posten lades till den 27 oktober 2022
AppleMobileFileIntegrity
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Problemet åtgärdades genom att ytterligare behörigheter togs bort.
CVE-2022-42825: Mickey Jin (@patch1t)
Apple TV
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2022-32909: Csaba Fitzl (@theevilbit) på Offensive Security
Lades till 21 december 2023
Audio
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Tolkning av en ljudfil med skadligt innehåll kan leda till att användarinformation avslöjas
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-42798: Anonym i samarbete med Trend Micro Zero Day Initiative
Posten lades till den 27 oktober 2022
AVEVideoEncoder
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2022-32940: ABC Research s.r.o.
Backup
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan komma åt iOS-säkerhetskopior
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2022-32929: Csaba Fitzl (@theevilbit) på Offensive Security
Posten lades till den 27 oktober 2022
CFNetwork
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Bearbetning av ett skadligt certifikat kan leda till körning av opålitlig kod
Beskrivning: Ett problem med certifikatvalidering förekom vid hantering av WKWebView. Problemet har åtgärdats genom förbättrad validering.
CVE-2022-42813: Jonathan Zhang på Open Computing Facility (ocf.berkeley.edu)
Core Bluetooth
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: en app kan spela in ljud med parkopplade AirPods
Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för appar från tredje part.
CVE-2022-32945: Guilherme Rambo från Best Buddy Apps (rambo.codes)
Lades till 22 december 2022
Core Bluetooth
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan spela in ljud via ett par anslutna AirPods
Beskrivning: Problemet åtgärdades med förbättrade behörigheter.
CVE-2022-32946: Guilherme Rambo på Best Buddy Apps (rambo.codes)
FaceTime
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En användare kan visa begränsat innehåll via låsskärmen
Beskrivning: Ett problem med låsskärmen åtgärdades med förbättrad tillståndshantering.
CVE-2022-32935: Bistrit Dahal
Posten lades till den 27 oktober 2022
GPU Drivers
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-32947: Asahi Lina (@LinaAsahi)
Graphics Driver
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2022-32939: Willy R. Vasquez på The University of Texas at Austin
Posten lades till den 27 oktober 2022
IOHIDFamily
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan orsaka att appar avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-42820: Peter Pan ZhenPeng på STAR Labs
IOKit
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2022-42806: Tingting Yin på Tsinghua University
Kernel
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan möjligen orsaka att systemet oväntat stängs ned eller att kod med kernel-privilegier potentiellt körs
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2022-46712: Tommy Muir (@Muirey03)
Lades till 1 maj 2023
Kernel
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-32944: Tim Michaud (@TimGMichaud) på Moveworks.ai
Posten lades till den 27 oktober 2022
Kernel
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2022-42803: Xinru Chi på Pangu Lab, John Aakerblom (@jaakerblom)
Posten lades till den 27 oktober 2022
Kernel
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2022-32926: Tim Michaud (@TimGMichaud) på Moveworks.ai
Posten lades till den 27 oktober 2022
Kernel
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2022-42801: Ian Beer på Google Project Zero
Posten lades till den 27 oktober 2022
Kernel
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-32924: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En fjärranvändare kan orsaka körning av kernelkod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-42808: Zweig på Kunlun Lab
Kernel
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2022-42827: En anonym forskare
Model I/O
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Bearbetning av en USD-fil med skadligt innehåll kan avslöja innehåll från minnet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-42810: Xingwei Lin (@xwlin_roy) och Yinyi Wu på Ant Security Light-Year Lab
Posten lades till den 27 oktober 2022
NetworkExtension
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan kringgå vissa inställningar för Integritet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2022-46715: IES Red Team på ByteDance
Lades till 1 maj 2023
ppp
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-42828: En anonym forskare
Lades till 31 oktober 2023
ppp
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Ett buffertspill kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2022-32941: En anonym forskare
Posten lades till den 27 oktober 2022
ppp
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2022-42829: En anonym forskare
ppp
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-42830: En anonym forskare
ppp
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2022-42831: En anonym forskare
CVE-2022-42832: En anonym forskare
Safari
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2022-42817: Mir Masood Ali, doktorand, University of Illinois i Chicago; Binoy Chitale, masterstudent, Stony Brook University; Mohammad Ghasemisharif, doktorand, University of Illinois i Chicago; Chris Kanich, docent, University of Illinois i Chicago; Nick Nikiforakis, docent, Stony Brook University; Jason Polakis, docent, University of Illinois i Chicago
Lades till 27 oktober 2022, uppdaterades 31 oktober 2023
Sandbox
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.
CVE-2022-42811: Justin Bui (@slyd0g) på Snowflake
Shortcuts
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En genväg kan kontrollera förekomsten av en opålitlig sökväg i filsystemet
Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.
CVE-2022-32938: Cristian Dinca på Tudor Vianu National High School of Computer Science of. Rumänien
Weather
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.
CVE-2022-42792: En anonym forskare
Lades till 1 maj 2023
WebKit
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 246669
CVE-2022-42826: Francisco Alonso (@revskills)
Lades till 22 december 2022
WebKit
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Besök på en skadlig webbplats kan leda till att användargränssnittet förfalskas
Beskrivning: Problemet åtgärdades med förbättrad hantering av användargränssnittet.
WebKit Bugzilla: 243693
CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)
WebKit
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 244622
CVE-2022-42823: Dohyun Lee (@l33d0hyun) på SSD Labs
WebKit
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 245058
CVE-2022-42824: Abdulrahman Alqabandi på Microsoft Browser Vulnerability Research, Ryan Shin på IAAI SecLab på Korea University och Dohyun Lee (@l33d0hyun) på DNSLab på Korea University
WebKit PDF
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
WebKit Bugzilla: 242781
CVE-2022-32922: Yonghwi Jin (@jinmo123) på Theori i samarbete med Trend Micro Zero Day Initiative
WebKit
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Bearbetning av skadligt webbinnehåll kan avslöja appens interna tillstånd
Beskrivning: Ett korrekthetsfel i JIT åtgärdades med förbättrade kontroller.
WebKit Bugzilla: 242964
CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) på KAIST Hacking Lab
Posten lades till den 27 oktober 2022
Wi-Fi
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: Anslutning till ett skadligt wifi-nätverk kan leda till dos-angrepp på appen Inställningar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2022-32927: Dr Hideaki Goto på Tohoku University, Japan
Posten lades till den 27 oktober 2022
zlib
Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generation och senare, iPad 5:e generationen och senare, iPad mini 5:e generation och senare
Effekt: En användare kan orsaka oväntad avslutning av app eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2022-37434: Evgeny Legerov
CVE-2022-42800: Evgeny Legerov
Posten lades till den 27 oktober 2022
Ytterligare tack
iCloud
Vi vill tacka Tim Michaud (@TimGMichaud) på Moveworks.ai för hjälpen.
IOGPUFamily
Vi vill tacka Wang Yu på cyberserval för hjälpen.
Lades till 31 oktober 2023
Image Processing
Vi vill tacka Tingting Yin på Tsinghua University för hjälpen.
Lades till 1 maj 2023
Kernel
Vi vill tacka Peter Nguyen på STAR Labs, Tim Michaud (@TimGMichaud) på Moveworks.ai och Tommy Muir (@Muirey03) för hjälpen.
WebKit
Vi vill tacka Maddie Stone på Google Project Zero och Narendra Bhati (@imnarendrabhati) på Suma Soft Pvt. Ltd. samt en anonym forskare för hjälpen.