Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 15.7.8 och iPadOS 15.7.8
Släpptes 24 juli 2023
Accessibility
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-40442: Nick Brook
Lades till 8 september 2023
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-34425: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab
Lades till 27 juli 2023
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: iPhone 8 och senare, iPad Pro (3:e generationen) och senare, iPad Air (3:e generationen) och senare och iPad mini (5:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-23540: Mohamed GHANNAM (@_simo36)
CFNetwork
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2023-40392: Wojciech Regula på SecuRing (wojciechregula.blog)
Lades till 8 september 2023
Find My
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2023-32416: Wojciech Regula på SecuRing (wojciechregula.blog)
FontParser
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av en typsnittsfil kan leda till opålitlig kodkörning. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 15.7.1.
Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) och Boris Larin (@oct0xor) på Kaspersky
Lades till 8 september 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En fjärrangripare kan orsaka ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-38603: Zweig på Kunlun Lab
Lades till 27 juli 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En fjärranvändare kan orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2023-38590: Zweig på Kunlun Lab
Lades till 27 juli 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
CVE-2023-38598: Mohamed GHANNAM (@_simo36)
Lades till 27 juli 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2023-36495: 香农的三蹦子 på Pangu Lab
Lades till 27 juli 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-37285: Arsenii Kostromin (0x3c3e)
Lades till 27 juli 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2023-38604: En anonym forskare
Lades till 27 juli 2023
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) på STAR Labs SG Pte. Ltd.
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan ändra känsliga kerneltillstånd. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 15.7.1.
Beskrivning: Problemet åtgärdades med förbättrad tillståndshantering.
CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) och Boris Larin (@oct0xor) på Kaspersky
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett uaf-fel åtgärdades med förbättrad minneshantering.
CVE-2023-32433: Zweig på Kunlun Lab
CVE-2023-35993: Kaitao Xie och Xiaolong Bai på Alibaba Group
Kernel
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En fjärrangripare kan orsaka ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-38603: Zweig på Kunlun Lab
Lades till 22 december 2023
libxpc
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan orsaka ett dos-angrepp
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-38593: Noah Roskin-Frazee
Lades till 27 juli 2023
libxpc
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kan få rotbehörigheter
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2023-38565: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)
Lades till 27 juli 2023
Security
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2023-42831: James Duffy (mangoSecure)
Lades till 22 december 2023
Weather
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En app kanske kan avgöra en användares aktuella plats
Beskrivning: Problemet åtgärdades genom förbättrad redigering av känslig information.
CVE-2023-38605: Adam M.
Lades till 8 september 2023
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En webbplats kan spåra känslig användarinformation
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 257822
CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin och Yuval Yarom
Lades till 27 juli 2023
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av ett dokument kan leda till en attack med skriptkörning över flera sajter
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
WebKit Bugzilla: 257299
CVE-2023-32445: Johan Carlsson (joaxcar)
Lades till 27 juli 2023
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 259231
CVE-2023-37450: En anonym forskare
Lades till 27 juli 2023
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En webbplats kan kringgå principen för samma ursprung
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 256549
CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd, Pune – Indien
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: En fjärrangripare kanske kan bryta sig ur sandlådan för webbinnehåll. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
WebKit Bugzilla: 255350
CVE-2023-32409: Clément Lecigne på Googles Threat Analysis Group och Donncha Ó Cearbhaill på Amnesty Internationals Security Lab
WebKit
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 256865
CVE-2023-38594: Yuhao Hu
WebKit Process Model
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 258100
CVE-2023-38597: 이준성(Junsung Lee) på Cross Republic
WebKit Web Inspector
Tillgänglig för: iPhone 6s (alla modeller), iPhone 7 (alla modeller), iPhone SE (1:a generationen), iPad Air 2, iPad mini (4:e generationen) och iPod touch (7:e generationen)
Effekt: Bearbetning av webbinnehåll kan avslöja känslig information
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 256932
CVE-2023-38133: YeongHyeon Choi (@hyeon101010)
Ytterligare tack
Vi vill tacka Parvez Anwar för hjälpen.
Screenshots
Vi vill tacka Eric Williams (@eric5310pub), Yannik Bloscheck (yannikbloscheck.com), Dametto Luca och Casati Jacopo för hjälpen.
Lades till 8 september 2023
WebKit
Vi vill tacka Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd. Pune – Indien för hjälpen.
Lades till 27 juli 2023
WebRTC
Vi vill tacka en anonym forskare för hjälpen.