iOS 15.7.6 ve iPadOS 15.7.6'nın güvenlik içeriği hakkında

Bu belgede iOS 15.7.6 ve iPadOS 15.7.6'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğu durumlarda CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 15.7.6 ve iPadOS 15.7.6

Accessibility

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2023-32388: Kirin (@Pwnrin)

Apple Neural Engine

Apple Neural Engine'e sahip ilgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (3. nesil) ve sonraki modeller, iPad Air (3. nesil) ve sonraki modeller, iPad mini (5. nesil)

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2023-23532: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Apple Neural Engine'e sahip ilgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (3. nesil) ve sonraki modeller, iPad Air (3. nesil) ve sonraki modeller, iPad mini (5. nesil)

Etki: Bir uygulama yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32425: Mohamed Ghannam (@_simo36)

CoreCapture

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-28181: Tsinghua Üniversitesi'nden Tingting Yin

ImageIO

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2023-32384: Meysam Firouzi (@R00tkitSMM) (Trend Micro'nun Zero Day Initiative programıyla)

IOSurface

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir uygulama, hassas çekirdek durumunu sızdırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-32410: hou xuewei (@p1ay8y3ar) vmk msu

Kernel

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Korumalı alandaki bir uygulama, sistem genelindeki ağ bağlantılarını gözlemleyebilir

Açıklama: Ek izin denetimleriyle bu sorun giderildi.

CVE-2023-27940: James Duffy (mangoSecure)

Kernel

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir uygulama, kök ayrıcalıkları elde edebilir

Açıklama: Durum yönetimi iyileştirilerek yarış durumu giderildi.

CVE-2023-32413: Synacktiv'den (@Synacktiv) Eloi Benoist-Vanderbeken (@elvanderb) (Trend Micro'nun Zero Day Initiative programıyla)

Kernel

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32398: ASU SEFCOM'dan Adam Doupé

Metal

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir uygulama, Gizlilik tercihlerini atlayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32407: Gergely Kalman (@gergely_kalman)

NetworkExtension

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Uygulamalar, gizli konum bilgilerini okuyabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2023-32403: Adam M.

Photos

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Geri Almak İçin Salla, silinen bir fotoğrafın kimlik doğrulama yapılmadan tekrar görünmesine neden olabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32365: Jiwon Park

Shell

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir uygulama, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-32397: Arsenii Kostromin (0x3c3e)

Shortcuts

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-32391: Wenchao Li ve Alibaba Group'tan Xiaolong Bai

Telephony

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32412: Google Project Zero'dan Ivan Fratric

TV App

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Bir uygulama, hassas konum bilgilerini okuyabilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-32408: Adam M.

WebKit

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-28204: Anonim bir araştırmacı

WebKit

İlgili ürünler: iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, bu sorundan etkin olarak yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2023-32373: anonim bir araştırmacı

Ek teşekkür listesi

libxml2

Yardımları için OSS-Fuzz'a ve Google Project Zero'dan Ned Williamson'a teşekkür ederiz.

Reminders

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

Security

James Duffy'ye (mangoSecure) yardımı için teşekkür ederiz.

Wi-Fi

Adam M.ye yardımı için teşekkür ederiz.