Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 15.7.6 och iPadOS 15.7.6
Släpptes 18 maj 2023
Accessibility
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-32388: Kirin (@Pwnrin)
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2023-23532: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: En app kan få högre behörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-32425: Mohamed Ghannam (@_simo36)
Lades till 21 december 2023
CoreCapture
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-28181: Tingting Yin på Tsinghua University
ImageIO
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) i samarbete med Trend Micro Zero Day Initiative
IOSurface
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan läcka känsliga kerneltillstånd
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-32410: Hou xuewei (@p1ay8y3ar) vmk msu
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app i sandlådeläge kanske kan observera nätverksanslutningar i hela systemet
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-27940: James Duffy (mangoSecure)
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32413: Eloi Benoist-Vanderbeken (@elvanderb) på Synacktiv (@Synacktiv) i samarbete med Trend Micro Zero Day Initiative
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
CVE-2023-32398: Adam Doupé på ASU SEFCOM
Metal
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan kringgå inställningar för Integritet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32407: Gergely Kalman (@gergely_kalman)
NetworkExtension
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-32403: Adam M.
Uppdaterades 21 december 2023
Photos
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Skaka för att ångra kan leda till att en raderad bild dyker upp igen utan att den autentiserats
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-32365: Jiwon Park
Shell
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2023-32397: Arsenii Kostromin (0x3c3e)
Shortcuts
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-32391: Wenchao Li och Xiaolong Bai på Alibaba Group
Telephony
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
CVE-2023-32412: Ivan Fratric på Google Project Zero
TV App
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-32408: Adam M.
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan avslöja känslig information. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
WebKit Bugzilla: 254930
CVE-2023-28204: En anonym forskare
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
WebKit Bugzilla: 254840
CVE-2023-32373: En anonym forskare
Ytterligare tack
libxml2
Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.
Reminders
Vi vill tacka Kirin (@Pwnrin) för hjälpen.
Security
Vi vill tacka James Duffy (mangoSecure) för hjälpen.
Wi-Fi
Vi vill tacka Adam M. för hjälpen.
Uppdaterades 21 december 2023