Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
iOS 15.7 та iPadOS 15.7
Дата випуску: 12 вересня 2022 р.
Apple Neural Engine
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32898: Мохамед Ганнам (Mohamed Ghannam, @_simo36)
CVE-2022-32899: Мохамед Ганнам (Mohamed Ghannam, @_simo36)
Запис додано 27 жовтня 2022 р.
Audio
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може отримувати вищий рівень привілеїв.
Опис: проблему вирішено шляхом видалення вразливого коду.
CVE-2022-42796: Міккі Джин (Mickey Jin, @patch1t)
Запис додано 27 жовтня 2022 р., оновлено 1 травня 2023 р.
Backup
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може отримувати доступ до резервних копій iOS.
Опис: проблему з доступом вирішено за допомогою додаткових обмежень.
CVE-2022-32929: Чаба Фіцль (Csaba Fitzl, @theevilbit) з Offensive Security
Запис додано 27 жовтня 2022 р.
Contacts
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може обходити параметри приватності.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-32854: Holger Fuhrmannek із Deutsche Telekom Security
Kernel
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може виконувати довільний код із привілеями ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32911: користувач Zweig із Kunlun Lab
Kernel
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може розкривати дані з пам’яті ядра.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2022-32864: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
Kernel
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може виконувати довільний код із привілеями ядра. Компанії Apple відомо, що цією проблемою могли активно користуватися.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2022-32917: анонімний дослідник
Maps
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може зчитувати конфіденційну інформацію про місцезнаходження
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2022-32883: Рон Масас (Ron Masas), breakpointhq.com
MediaLibrary
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: користувач може мати можливість підвищити рівень привілеїв
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.
CVE-2022-32908: анонімний дослідник
Notifications
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: користувач із фізичним доступом до пристрою може отримати доступ до контактів із замкненого екрана.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-32879: Убейдулла Сюмер (Ubeydullah Sümer)
Запис додано 27 жовтня 2022 р.
Safari
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2022-32795: Narendra Bhati із Suma Soft Pvt. Ltd. Pune (India) @imnarendrabhati
Safari Extensions
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: вебсайт може відстежувати користувачів за допомогою веброзширень Safari
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 242278
CVE-2022-32868: Michael
Security
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: програма може обходити перевірки підпису коду.
Опис: проблему з перевіркою підпису коду вирішено завдяки поліпшенню перевірок.
CVE-2022-42793: Лінус Генце (Linus Henze) з Pinauten GmbH (pinauten.de)
Запис додано 27 жовтня 2022 р.
Shortcuts
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: користувач із фізичним доступом до пристрою iOS може отримати доступ до фотографій із замкненого екрана.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2022-32872: Elite Tech Guru
Sidecar
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: користувач може переглядати обмежений вміст із замкненого екрана.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
CVE-2022-42790: Ом Котаваде (Om Kothawade) із Zaprico Digital
Запис додано 27 жовтня 2022 р.
WebKit
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
WebKit Bugzilla: 242047
CVE-2022-32888: користувач P1umer (@p1umer)
Запис додано 27 жовтня 2022 р.
WebKit
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer, afang5472, xmzyshypnc
WebKit
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему читання за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
WebKit Bugzilla: 242762
CVE-2022-32912: Джеонгун Шин (Jeonghoon Shin, @singi21a) із Theori, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit Sandboxing
Цільові продукти: iPhone 6s і новіші моделі, iPad Pro (усі моделі), iPad Air 2 та новіші моделі, iPad 5-го покоління та новіші моделі, iPad mini 4 та новіші моделі, iPod touch (7-го покоління)
Вплив: певний процес в ізольованому програмному середовищі може обходити обмеження цього середовища.
Опис: проблему з доступом вирішено завдяки вдосконаленню ізольованого середовища.
WebKit Bugzilla: 243181
CVE-2022-32892: користувач @18楼梦想改造家 і користувач @jq0904 з DBAppSecurity's WeBin lab
Запис додано 27 жовтня 2022 р.
Додаткова подяка
AppleCredentialManager
Дякуємо за допомогу користувачу @jonathandata1.
Запис додано 27 жовтня 2022 р.
FaceTime
Дякуємо за допомогу анонімному досліднику.
Запис додано 27 жовтня 2022 р.
Game Center
Дякуємо за допомогу Джошуа Джонсу (Joshua Jones).
Identity Services
Дякуємо за допомогу Джошуа Джонсу (Joshua Jones).
Kernel
Дякуємо за допомогу анонімному досліднику.
Запис додано 27 жовтня 2022 р.
WebKit
Дякуємо за допомогу анонімному досліднику.
Запис додано 27 жовтня 2022 р.
WebRTC
Дякуємо за допомогу анонімному досліднику.
Запис додано 27 жовтня 2022 р.