Om säkerhetsinnehållet i iOS 16.2 och iPadOS 16.2

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

Släpptes 13 december 2022

Accessibility

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En användare med fysisk åtkomst till en låst Apple Watch kanske kan se användarbilder via hjälpmedelsfunktioner

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-46717: Zitong Wu (吴梓桐) från Zhuhai No.1 Middle School(珠海市第一中学)

Lades till 16 mars 2023

Accounts

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En användare kanske kan visa känslig användarinformation

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2022-42843: Mickey Jin (@patch1t)

AppleAVD

Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en videofil med skadligt innehåll kan leda till körning av kernelkod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2022-46694: Andrey Labunets och Nikita Tarakanov

AppleMobileFileIntegrity

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades genom att aktivera härdad exekvering.

CVE-2022-42865: Wojciech Reguła (@_r3ggi) från SecuRing

AVEVideoEncoder

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2022-42848: ABC Research s.r.o

CoreServices

Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Flera problem åtgärdades genom borttagning av den sårbara koden.

CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) på Offensive Security

dyld

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2022-46720: Yonghwi Jin (@jinmo123) på Theori

Lades till 16 mars 2023

GPU Drivers

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: en app kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-46702: Xia0o0o0o på W4terDr0p, Sun Yat-sen University

Graphics Driver

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42850: Willy R. Vasquez på University of Texas at Austin

Graphics Driver

Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en videofil med skadligt innehåll kan leda till oväntad systemavstängning

Beskrivning: Problemet åtgärdades med förbättrad minneshantering.

CVE-2022-42846: Willy R. Vasquez på The University of Texas at Austin

iCloud Photo Library

Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Platsdata kan delas via iCloud-länkar även om platsmetadata är inaktiverade i delningsbladet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2022-46710: John Balestrieri på Tinrocket

Lades till 31 oktober 2023

ImageIO

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2022-46693: Mickey Jin (@patch1t)

ImageIO

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Tolkning av en skadlig TIFF-fil kan leda till att användarinformation avslöjas

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42851: Mickey Jin (@patch1t)

IOHIDFamily

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2022-46690: John Aakerblom (@jaakerblom)

iTunes Store

Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En fjärranvändare kanske kan orsaka ett oväntat appavslut eller körning av opålitlig kod

Beskrivning: Ett problem förekom i tolkningen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2022-42837: Weijia Dai (@dwj1210) på Momo Security

Kernel

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2022-46689: Ian Beer på Google Project Zero

Kernel

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Anslutning till en skadlig NFS-server kan orsaka körning av opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2022-46701: Felix Poulin-Belanger

Kernel

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En fjärranvändare kan orsaka körning av kernelkod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42842: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab

Kernel

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2022-42861: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab

Kernel

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42844: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab

Kernel

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app med rotbehörigheter kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42845: Adam Doupé från ASU SEFCOM

Kernel

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En angripare med godtycklig läs- och skrivkapacitet kanske kan kringgå pekarautentisering. Apple känner till en rapport om att det här problemet kan ha utnyttjats på tidigare versioner av iOS än iOS 15.7.1.

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2022-48618: Apple

Lades till 9 januari 2024

Networking

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2022-42839: En anonym forskare

Lades till 31 oktober 2023

Networking

Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Privata reläfunktioner matchade inte systeminställningarna

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-46716

Lades till 16 mars 2023

Photos

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Skaka för att ångra kan leda till att en raderad bild dyker upp igen utan att den autentiserats

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2022-32943: Jiwon Park, Mieszko Wawrzyniak och en anonym forskare

Uppdaterades 31 oktober 2023

ppp

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2022-42840: En anonym forskare

Preferences

Tillgängligt för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan använda opålitliga behörigheter

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-42855: Ivan Fratric på Google Project Zero

Printing

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2022-42862: Mickey Jin (@patch1t)

Safari

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

Software Update

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En användare kanske kan öka behörigheter

Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades genom ytterligare begränsningar.

CVE-2022-42849: Mickey Jin (@patch1t)

TCC

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-46718: Michael (Biscuit) Thomas

Lades till 1 maj 2023

Weather

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-46703: Wojciech Reguła (@_r3ggi) på SecuRing och en anonym forskare

Lades till 16 mars 2023

Weather

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2022-42866: En anonym forskare

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas

Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.

WebKit Bugzilla: 247461
CVE-2022-32919: @real_as3617

Lades till 31 oktober 2023

WebKit

Tillgängligt för: iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att detta problem kan ha utnyttjats aktivt mot versioner av iOS som släppts före iOS 15.1.

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne på Googles Threat Analysis Group

Lades till 22 december 2022

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.

WebKit Bugzilla: 247289
CVE-2022-46725: Hyeon Park (@tree_segment) på Team ApplePIE

WebKit Bugzilla: 247287
CVE-2022-46705: Hyeon Park (@tree_segment) på Team ApplePIE

Lades till 22 december 2022, uppdaterades 31 oktober 2023

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone på Google Project Zero

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 245466
CVE-2022-46691: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang och JiKai Ren och Hang Shu of Institute of Computing Technology, Chinese Academy of Sciences

Uppdaterades 31 oktober 2023

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan kringgå principen för samma ursprung

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani (kirtikumarar.com)

Uppdaterades 31 oktober 2023

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas

Beskrivning: Problemet åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 246721
CVE-2022-42852: Hazbinhotel i samarbete med Trend Micro Zero Day Initiative

Uppdaterades 22 december 2022

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß på Google V8 Security

WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß på Google V8 Security

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

WebKit Bugzilla: 247066
CVE-2022-46698: Dohyun Lee (@l33d0hyun) på DNSLab på Korea University, Ryan Shin på IAAI SecLab på Korea University

Uppdaterades 22 december 2022

WebKit

Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß på Google V8 Security

WebKit Bugzilla: 244622
CVE-2022-42863: En anonym forskare

App Store

Vi vill tacka Iago Cavalcante på Billy for Insurance för hjälpen.

Lades till 1 maj 2023

Kernel

Vi vill tacka Zweig på Kunlun Lab och pattern-f (@pattern_F_) på Ant Security Light-Year Lab för hjälpen.

Safari Extensions

Vi vill tacka Oliver Dunk och Christian R. på 1Password för hjälpen.

WebKit

Vi vill tacka en anonym forskare och Scarlet för hjälpen.