Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
iOS 16.7 och iPadOS 16.7
Släpptes den 21 september 2023
App Store
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En fjärrangripare kanske kan bryta sig ur sandlådan för webbinnehåll
Beskrivning: Problemet åtgärdades genom förbättrad hantering av protokoll.
CVE-2023-40448: w0wbox
Lades till 26 september 2023
Ask to Buy
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan komma åt skyddade användardata
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-38612: Chris Ross (Zoom)
Lades till 22 december 2023
Biometric Authentication
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: en app kan avslöja kernelminnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2023-41232: Liang Wei på PixiePoint Security
Lades till 26 september 2023
CoreAnimation
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av webbinnehåll kan leda till ett dos-angrepp
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-40420: 이준성(Junsung Lee) på Cross Republic
Lades till 26 september 2023
Core Image
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan komma åt redigerade bilder som har sparats i en tillfällig katalog
Beskrivning: Ett problem åtgärdades med förbättrad hantering av tillfälliga filer.
CVE-2023-40438: Wojciech Regula på SecuRing (wojciechregula.blog)
Lades till 22 december 2023
Game Center
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kanske kan komma åt kontakter
Beskrivning: problemet åtgärdades genom förbättrad hantering av cache.
CVE-2023-40395: Csaba Fitzl (@theevilbit) på Offensive Security
Lades till 26 september 2023
Kernel
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd.
Lades till 26 september 2023
Kernel
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-41981: Linus Henze på Pinauten GmbH (pinauten.de)
Lades till 26 september 2023
Kernel
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En lokal angripare kan höja sin behörighet. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 16.7.
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-41992: Bill Marczak på The Citizen Lab vid The University of Toronto's Munk School och Maddie Stone på Google's Threat Analysis Group
libxpc
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan komma åt skyddade användardata
Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.
CVE-2023-41073: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)
Lades till 26 september 2023
libxpc
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: en app kan kanske radera filer som den inte har behörighet till
Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.
CVE-2023-40454: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)
Lades till 26 september 2023
libxslt
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: Bearbetning av webbinnehåll kan avslöja känslig information
Beskrivning: problemet hanterades med förbättrad minneshantering.
CVE-2023-40403: Dohyun Lee (@l33d0hyun) på PK Security
Lades till 26 september 2023
MobileStorageMounter
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: en användare kanske kan öka behörigheter
Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.
CVE-2023-41068: Mickey Jin (@patch1t)
Lades till 26 september 2023
Passkeys
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En angripare kan komma åt lösenkoder utan autentisering
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2023-40401: En anonym forskare och weize she
Lades till 22 december 2023
Pro Res
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2023-41063: Certik Skyfall Team
Lades till 26 september 2023
Safari
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: En app kan kanske identifiera vilka övriga appar som en användare har installerat
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2023-35990: Adriatik Raci på Sentry Cybersecurity
Lades till 26 september 2023
Security
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: en skadlig app kanske kan kringgå signaturvalidering. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS som släppts före iOS 16.7.
Beskrivning: Ett problem med certifikatsvalidering åtgärdades.
CVE-2023-41991: Bill Marczak på The Citizen Lab vid The University of Toronto's Munk School och Maddie Stone på Google's Threat Analysis Group
Share Sheet
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: en app kan komma åt känsliga data som loggas när en användare delar en länk
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2023-41070: Kirin (@Pwnrin)
Lades till 26 september 2023
WebKit
Tillgänglig för: iPhone 8 och senare, iPad Pro (alla modeller), iPad Air 3:e generationen och senare, iPad 5:e generationen och senare och iPad mini 5:e generationen och senare
Effekt: bearbetning av webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt på versioner av iOS före iOS 16.7.
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 261544
CVE-2023-41993: Bill Marczak på Citizen Lab vid The University of Toronto's Munk School och Maddie Stone på Google's Threat Analysis Group
Ytterligare tack
Apple Neural Engine
Vi vill tacka pattern-f (@pattern_F_) på Ant Security Light-Year Lab för hjälpen.
Lades till 22 december 2023
AppSandbox
Vi vill tacka Kirin (@Pwnrin) för hjälpen.
Lades till 26 september 2023
libxml2
Vi vill tacka OSS-Fuzz, Ned Williamson på Google Project Zero för hjälpen.
Lades till 26 september 2023
Kernel
Vi vill tacka Bill Marczak på The Citizen Lab vid The University of Toronto's Munk School och Maddie Stone på Googles Threat Analysis Group för hjälpen.
WebKit
Vi vill tacka Khiem Tran, Narendra Bhati från Suma Soft Pvt. Ltd, Pune (India) för hjälpen.
Lades till 26 september 2023
WebRTC
Vi vill tacka en anonym forskare för hjälpen.
Lades till 26 september 2023