Om säkerhetsinnehållet i iOS 17 och iPadOS 17

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 17 och iPadOS 17.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apples produktsäkerhet.

iOS 17 och iPadOS 17

Släpptes 18 september 2023

Accessibility

Tillgängligt för: iPhone XS och senare, iPad Pro 12,9 tum 2:a generationen och senare, iPad Pro 10,5 tum, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 6:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En person med fysisk åtkomst till en enhet kanske kan använda VoiceOver för att få åtkomst till information om privat kalender

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2023-40529: Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College Of Technology Bhopal

Lades till 22 december 2023

Airport

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett tillståndsproblem åtgärdades genom förbättrad redigering av känslig information.

CVE-2023-40384: Adam M.

App Store

Effekt: En fjärrangripare kanske kan bryta sig ur sandlådan för webbinnehåll

Beskrivning: Problemet åtgärdades genom förbättrad hantering av protokoll.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.

CVE-2023-42872: Mickey Jin (@patch1t)

Lades till 22 december 2023

Apple Neural Engine

Tillgängligt för enheter med Apple Neural Engine: iPhone XS och senare, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) på Baidu Security

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Uppdaterades 22 december 2023

Apple Neural Engine

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Effekt: En app kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Effekt: En app kan avslöja kernelminnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2023-40410: Tim Michaud (@TimGMichaud) på Moveworks.ai

Ask to Buy

Effekt: En app kanske kan komma åt skyddade användardata

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-38612: Chris Ross (Zoom)

Lades till 22 december 2023

AuthKit

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-32361: Csaba Fitzl (@theevilbit) på Offensive Security

Biometric Authentication

Effekt: En app kan avslöja kernelminnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2023-41232: Liang Wei på PixiePoint Security

Bluetooth

Effekt: En angripare som befinner sig fysiskt i närheten kan orsaka en begränsad skrivning utanför gränserna

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-35984: zer0k

bootp

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2023-41065: Adam M., samt Noah Roskin-Frazee och professor Jason Lau (ZeroClicks.ai Lab)

CFNetwork

Effekt: En app kan misslyckas med att följa App Transport Security

Beskrivning: Problemet åtgärdades genom förbättrad hantering av protokoll.

CVE-2023-38596: Will Brattain på Trail of Bits

CoreAnimation

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40420: 이준성(Junsung Lee) på Cross Republic

Core Data

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2023-40528: Kirin (@Pwnrin) på NorthSea

Lades till 22 januari 2024

Dev Tools

Effekt: En app kan få högre behörighet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2023-32396: Mickey Jin (@patch1t)

Face ID

Tillgängligt för: iPhone XS och senare, iPad Pro 12,9 tum 2:a generationen och senare och iPad Pro 11 tum 1:a generationen och senare

Effekt: En 3D-modell som är tillverkad för att se ut som den registrerade användaren kan användas för autentisering via Face ID

Beskrivning: Problemet löstes genom att förbättra modellerna för Face ID-förfalskningsskyddet.

CVE-2023-41069: Zhice Yang (ShanghaiTech University)

Lades till 22 december 2023

FileProvider

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-41980: Noah Roskin-Frazee och professor Jason Lau (ZeroClicks.ai Lab)

Game Center

Effekt: En app kanske kan komma åt kontakter

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-40395: Csaba Fitzl (@theevilbit) på Offensive Security

GPU Drivers

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40431: Certik Skyfall Team

GPU Drivers

Effekt: En app kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40391: Antonio Zekic (@antoniozekic) på Dataflow Security

GPU Drivers

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2023-40441: Ron Masas på Imperva

iCloud Photo Library

Effekt: En app kan komma åt en användares bildbibliotek

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-40434: Mikko Kenttälä (@Turmio_ ) på SensorFu

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2023-41995: Certik Skyfall Team, pattern-f (@pattern_F_) på Ant Security Light-Year Lab

CVE-2023-42870: Zweig på Kunlun Lab

CVE-2023-41974: Félix Poulin-Bélanger

Uppdaterades 22 december 2023

Kernel

Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-41981: Linus Henze på Pinauten GmbH (pinauten.de)

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd.

Kernel

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering.

CVE-2023-40429: Michael (Biscuit) Thomas och 张师傅(@京东蓝军)

Kernel

Effekt: En fjärranvändare kan orsaka körning av kernelkod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrade kontroller.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) på MIT CSAIL

Lades till 22 december 2023

libpcap

Effekt: En fjärranvändare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2023-40400: Sei K.

libxpc

Effekt: En app kan kanske radera filer som den inte har behörighet till

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2023-40454: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)

libxpc

Effekt: En app kanske kan komma åt skyddade användardata

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2023-41073: Zhipeng Huo (@R3dF09) på Tencent Security Xuanwu Lab (xlab.tencent.com)

libxslt

Effekt: Bearbetning av webbinnehåll kan avslöja känslig information

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) på PK Security

Maps

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-40427: Adam M. och Wojciech Regula på SecuRing (wojciechregula.blog)

MobileStorageMounter

Effekt: En användare kanske kan öka behörigheter

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.

CVE-2023-41068: Mickey Jin (@patch1t)

Music

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

Passkeys

Effekt: En angripare kan komma åt lösenkoder utan autentisering

Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.

CVE-2023-40401: weize she och en anonym forskare

Lades till 22 december 2023

Photos Storage

Effekt: En app kan komma åt redigerade bilder som har sparats i en tillfällig katalog

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Photos Storage

Effekt: En app med rotbehörighet kan ha tillgång till privat information

Beskrivning: Ett problem med avslöjande av information åtgärdades genom borttagning av den sårbara koden.

CVE-2023-42934: Wojciech Regula på SecuRing (wojciechregula.blog)

Lades till 22 december 2023

Pro Res

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-41063: Certik Skyfall Team

QuartzCore

Effekt: En app kan orsaka ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2023-40422: Tomi Tokics (@tomitokics) på iTomsn0w

Lades till 22 december 2023

Safari

Effekt: En app kan kanske identifiera vilka övriga appar som en användare har installerat

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-35990: Adriatik Raci på Sentry Cybersecurity

Safari

Effekt: Besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med fönsterhantering åtgärdades genom förbättrad tillståndshantering.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) på Suma Soft Pvt. Ltd

Uppdaterades 22 december 2023

Sandbox

Effekt: En app kan skriva över opålitliga filer

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Effekt: En app kan komma åt känsliga data som loggas när en användare delar en länk

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

Effekt: En app kan få högre behörighet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

Siri

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad hantering av cache.

CVE-2023-40428: Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College Of Technology Bhopal

StorageKit

Effekt: En app kanske kan läsa opålitliga filer

Beskrivning: Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2023-41968: Mickey Jin (@patch1t) och James Hutchins

TCC

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) och Csaba Fitzl (@theevilbit) på Offensive Security

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) och Dohyun Lee (@l33d0hyun) på PK Security

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Uppdaterades 22 december 2023

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) på Cross Republic och Jie Ding(@Lime) från HKUS3 Lab

Uppdaterades 22 december 2023

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) och Jong Seong Kim (@nevul37) på AbyssLab, och zhunki

Uppdaterades 22 januari 2024

WebKit

Effekt: En användares lösenkod kan läsas upp med VoiceOver

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Lades till 22 december 2023

WebKit

Effekt: En fjärransluten angripare kanske kan se läckta DNS-frågor när privat reläservice är aktiverat

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

WebKit Bugzilla: 257303
CVE-2023-40385: Anonym

Lades till 22 december 2023

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett korrekthetsfel åtgärdades med förbättrade kontroller.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) och Jong Seong Kim (@nevul37) på AbyssLab

Lades till 22 december 2023

Wi-Fi

Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.

CVE-2023-38610: Wang Yu på Cyberserval

Lades till 22 december 2023

Ytterligare tack

Accessibility

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal för hjälpen.

Airport

Vi vill tacka Adam M. samt Noah Roskin-Frazee och professor Jason Lau (ZeroClicks.ai Lab) för hjälpen.

Apple Neural Engine

Vi vill tacka pattern-f (@pattern_F_) på Ant Security Light-Year Lab för hjälpen.

Lades till 22 december 2023

AppSandbox

Vi vill tacka Kirin (@Pwnrin) för hjälpen.

Audio

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Bluetooth

Vi vill tacka Jianjun Dai och Guang Gong på 360 Vulnerability Research Institute för hjälpen.

Books

Vi vill tacka Aapo Oksman på Nixu Cybersecurity för hjälpen.

Control Center

Vi vill tacka Chester van den Bogaard för hjälpen.

CoreMedia Playback

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Data Detectors UI

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal för hjälpen.

Draco

Vi vill tacka David Coomber för hjälpen.

Find My

Vi vill tacka Cher Scarlett för hjälpen.

Home

Vi vill tacka Jake Derouin (jakederouin.com) för hjälpen.

IOUserEthernet

Vi vill tacka Certik Skyfall Team för hjälpen.

Lades till 22 december 2023

Kernel

Vi vill tacka Bill Marczak på The Citizen Lab vid The University of Toronto's Munk School och Maddie Stone på Googles Threat Analysis Group och 永超王 för hjälpen.

Keyboard

Vi vill tacka en anonym forskare för hjälpen.

libxml2

Vi vill tacka OSS-Fuzz och Ned Williamson på Google Project Zero för hjälpen.

libxpc

Vi vill tacka en anonym forskare för hjälpen.

libxslt

Vi vill tacka Dohyun Lee (@l33d0hyun) på PK Security, OSS-Fuzz och Ned Williamson på Google Project Zero för hjälpen.

Menus

Vi vill tacka Matthew Denton på Google Chrome Security för hjälpen.

Lades till 22 december 2023

Notes

Vi vill tacka Lucas-Raphael Müller för hjälpen.

Notifications

Vi vill tacka Jiaxu Li för hjälpen.

NSURL

Vi vill tacka Zhanpeng Zhao (行之) och 糖豆爸爸(@晴天组织) för hjälpen.

Password Manager

Vi vill tacka Hidetoshi Nakamura för hjälpen.

Photos

Vi vill tacka Anatolii Kozlov, Dawid Pałuska, Kirin (@Pwnrin), Lyndon Cornelius, och Paul Lurin för hjälpen.

Power Services

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Quick Look

Vi vill tacka 이준성(Junsung Lee) på Cross Republic för hjälpen.

Lades till 22 december 2023

Safari

Vi vill tacka Kang Ali på Punggawa Cyber Security och Andrew James Gonzalez för hjälpen.

Safari Private Browsing

Vi vill tacka Khiem Tran, Narendra Bhati på Suma Soft Pvt. Ltd. och en anonym forskare för hjälpen.

Shortcuts

Vi vill tacka Alfie CG, Christian Basting på Bundesamt für Sicherheit in der Informationstechnik, Cristian Dinca på ”Tudor Vianu” National High School of Computer Science, Rumänien, Giorgos Christodoulidis, Jubaer Alnazi på TRS Group Of Companies, KRISHAN KANT DWIVEDI (@xenonx7) och Matthew Butler för hjälpen.

Uppdaterades 24 april 2024

Siri

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal för hjälpen.

Software Update

Vi vill tacka Omar Siman för hjälpen.

Spotlight

Vi vill tacka Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College Of Technology Bhopal och Dawid Pałuska för hjälpen.

Standby

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal för hjälpen.

Status Bar

Vi vill tacka N och en anonym forskare för hjälpen.

StorageKit

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Weather

Vi vill tacka Wojciech Regula på SecuRing (wojciechregula.blog) för hjälpen.

Lades till 22 december 2023

WebKit

Vi vill tacka Khiem Tran, Narendra Bhati från Suma Soft Pvt. Ltd. och en anonym forskare för hjälpen.

WebRTC

Vi vill tacka en anonym forskare för hjälpen.

Wi-Fi

Vi vill tacka Wang Yu på Cyberserval för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 29 april 2024