iOS 16.7 ve iPadOS 16.7'nin güvenlik içeriği hakkında

Bu belgede iOS 16.7 ve iPadOS 16.7'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

iOS 16.7 ve iPadOS 16.7

App Store

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Uzaktaki bir saldırgan Web İçeriği korumalı alanını ihlal edebilir

Açıklama: Protokollerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40448: w0wbox

Ask to Buy

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-38612: Chris Ross (Zoom)

Biometric Authentication

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2023-41232: PixiePoint Security'den Liang Wei

CoreAnimation

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Web içeriğinin işlenmesi servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40420: Cross Republic'ten 이준성 (Junsung Lee)

Core Image

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama geçici dizine kaydedilen düzenlenmiş fotoğraflara erişebilir

Açıklama: Geçici dosyaların işlenmesi iyileştirilerek bir sorun giderildi.

CVE-2023-40438: SecuRing'den Wojciech Regula (wojciechregula.blog)

Game Center

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, kişilere erişebilir

Açıklama: Önbelleklerin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40395: Offensive Security'den Csaba Fitzl (@theevilbit)

Kernel

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41984: STAR Labs SG Pte. Şirketinden Pan ZhenPeng (@Peterpan0927) şirketinden Pan ZhenPeng (@Peterpan0927)

Kernel

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Çekirdek kodunu yürütmeyi başarmış bir saldırgan, çekirdek belleği önlemlerini atlayabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41981: Pinauten GmbH'den (pinauten.de) Linus Henze

Kernel

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Yerel bir saldırgan, ayrıcalıklarını yükseltebilir. Apple, iOS 16.7'den önceki iOS sürümlerinde bu sorundan etkin şekilde yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-41992: Toronto Üniversitesi Munk School'da bulunan Citizen Lab'den Bill Marczak ve Google Threat Analysis Group'tan Maddie Stone

libxpc

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, korunan kullanıcı verilerine erişebilir

Açıklama: Durum yönetimi iyileştirilerek yetkilendirme sorunu giderildi.

CVE-2023-41073: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

libxpc

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, izni olmadan dosya silebilir

Açıklama: Ek sınırlamalar getirilerek izinlerle ilgili bir sorunu giderildi.

CVE-2023-40454: Tencent Security Xuanwu Lab'den (xlab.tencent.com) Zhipeng Huo (@R3dF09)

libxslt

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Web içeriğinin işlenmesi hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-40403: PK Security'den Dohyun Lee (@l33d0hyun)

MobileStorageMounter

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir kullanıcı ayrıcalıkları yükseltebilir

Açıklama: Erişim sınırlamaları iyileştirilerek bir erişim sorunu giderildi.

CVE-2023-41068: Mickey Jin (@patch1t)

Passkeys

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Saldırgan, kimlik doğrulama olmadan geçiş anahtarlarına erişebilir

Açıklama: Ek izin denetimleriyle bu sorun giderildi.

CVE-2023-40401: anonim bir araştırmacı ve weize she

Pro Res

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek sorun giderildi.

CVE-2023-41063: Certik Skyfall Ekibi

Safari

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, kullanıcının yüklediği diğer uygulamaları belirleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-35990: Sentry Cybersecurity'den Adriatik Raci

Security

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Kötü amaçlı bir uygulama imza doğrulamasını atlayabilir. Apple, iOS 16.7'den önceki iOS sürümlerinde bu sorundan etkin şekilde yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Sertifika doğrulama işlemiyle ilgili bir sorun giderildi.

CVE-2023-41991: Toronto Üniversitesi Munk School'da bulunan Citizen Lab'den Bill Marczak ve Google Threat Analysis Group'tan Maddie Stone

Share Sheet

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Bir uygulama, kullanıcı bağlantı paylaştığında günlüğe kaydedilen hassas verilere erişebilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2023-41070: Kirin (@Pwnrin)

WebKit

İlgili ürünler: iPhone 8 ve sonraki modeller, iPad Pro (tüm modeller), iPad Air 3. nesil ve sonraki modeller, iPad 5. nesil ve sonraki modeller ve iPad mini 5. nesil ve sonraki modeller

Etki: Web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir. Apple, iOS 16.7'den önceki iOS sürümlerinde bu sorundan etkin şekilde yararlanılmış olabileceğine dair rapordan haberdardır.

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2023-41993: Toronto Üniversitesi Munk School'da bulunan Citizen Lab'den Bill Marczak ve Google Threat Analysis Group'tan Maddie Stone

Ek teşekkür listesi

Apple Neural Engine

Ant Security Light-Year Lab'den pattern-f'ye (@pattern_F_) yardımı için teşekkür ederiz.

AppSandbox

Kirin'e (@Pwnrin) yardımı için teşekkür ederiz.

libxml2

OSS-Fuzz ve Google Project Zero'dan Ned Williamson'a yardımları için teşekkür ederiz.

Kernel

Yardımları için Toronto Üniversitesi Munk School'da bulunan Citizen Lab'den Bill Marczak ve Google Threat Analysis Group'tan Maddie Stone'a teşekkür ederiz.

WebKit

Yardımları için anonim bir araştırmacıya ve teşekkür ederiz.

WebRTC

Anonim bir araştırmacıya yardımı için teşekkür ederiz.