Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 15.7.4 och iPadOS 15.7.4
Släpptes 27 mars 2023
Accessibility
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan få åtkomst till information om en användares kontakter
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-23541: Csaba Fitzl (@theevilbit) på Offensive Security
Calendar
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Import av en skadlig kalenderinbjudan kan sprida användarinformation
Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app i sandlådeläge kan fastställa vilken app som just nu använder kameran
Beskrivning: Problemet åtgärdades med ytterligare begränsningar för visning av applägen.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27936: Tingting Yin på Tsinghua University
Find My
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-23537: Adam M.
Uppdaterades 21 december 2023
FontParser
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-27956: Ye Zhang på Baidu Security
FontParser
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en typsnittsfil kan leda till opålitlig kodkörning
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32366: Ye Zhang (@VAR10CK) på Baidu Security
Lades till 21 december 2023
Identity Services
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan få åtkomst till information om en användares kontakter
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-27928: Csaba Fitzl (@theevilbit) på Offensive Security
ImageIO
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23535: Ryuzaki
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: en app kan avslöja kernelminnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2023-28200: Arsenii Kostromin (0x3c3e)
Lades till 1 maj 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: en app kan avslöja kernelminnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades genom förbättrad minneshantering.
CVE-2023-27969: Adam Doupé på ASU SEFCOM
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
CVE-2023-23536: Félix Poulin-Bélanger och David Pan Ogea
Lades till 1 maj 2023, uppdaterades 21 december 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan orsaka ett dos-angrepp
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-28185: Pan ZhenPeng på STAR Labs SG Pte. Ltd.
Lades till 21 december 2023
libpthread
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
CVE-2023-41075: Zweig på Kunlun Lab
Lades till 21 december 2023
Model I/O
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27949: Mickey Jin (@patch1t)
Model I/O
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-27950: Mickey Jin (@patch1t)
Lades till 21 december 2023
NetworkExtension
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En användare i en behörig nätverksposition kanske kan förfalska en VPN-server som är konfigurerad med endast EAP-autentisering på en enhet
Beskrivning: Problemet har åtgärdats genom förbättrad autentisering.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-27963: Jubaer Alnazi Jabin på TRS Group Of Companies, samt Wenchao Li och Xiaolong Bai på Alibaba Group
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En webbplats kan spåra känslig användarinformation
Beskrivning: Problemet åtgärdades genom att ta bort information om ursprung.
WebKit Bugzilla: 250837
CVE-2023-27954: En anonym forskare
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
WebKit Bugzilla: 251944
CVE-2023-23529: En anonym forskare
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
WebKit Bugzilla: 250429
CVE-2023-28198: Hazbinhotel i samarbete med Trend Micro Zero Day Initiative
Lades till 21 december 2023
WebKit PDF
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.
WebKit Bugzilla: 249169
CVE-2023-32358: Anonym i samarbete med Trend Micro Zero Day Initiative
Lades till 21 december 2023
WebKit Web Inspector
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En fjärranvändare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
CVE-2023-28201: Dohyun Lee (@l33d0hyun), crixer (@pwning_me) på SSD Labs
Lades till 1 maj 2023
Ytterligare tack
Vi vill tacka Fabian Ising på FH Münster University of Applied Sciences, Damian Poddebniak på FH Münster University of Applied Sciences, Tobias Kappert på Münster University of Applied Sciences, Christoph Saatjohann på Münster University of Applied Sciences och Sebastian Schinzel på Münster University of Applied Sciences för hjälpen.
Uppdaterades 1 maj 2023
WebKit Web Inspector
Vi vill tacka Dohyun Lee (@l33d0hyun) och crixer (@pwning_me) på SSD Labs för hjälpen.