Проблеми системи безпеки, які усунено в оновленнях iOS 15.7.2 та iPadOS 15.7.2.

У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 15.7.2 та iPadOS 15.7.2.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 15.7.2 та iPadOS 15.7.2

Дата випуску: 13 грудня 2022 року

AppleAVD

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: аналіз шкідливого відеофайлу може призводити до виконання коду в ядрі.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2022-46694: Andrey Labunets і Nikita Tarakanov

AVEVideoEncoder

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2022-42848: ABC Research s.r.o

File System

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: програма може виходити за межі ізольованого середовища.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2022-42861: pattern-f (@pattern_F_) з Ant Security Light-Year Lab

Graphics Driver

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: аналіз шкідливого відеофайлу може призводити до неочікуваного завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2022-42846: Willy R. Vasquez з Університету Техасу в Остіні

IOHIDFamily

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2022-42864: Tommy Muir (@Muirey03)

iTunes Store

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: виникала проблема під час аналізу URL-адрес. Цю проблему було вирішено шляхом поліпшеня перевірки вводу.

CVE-2022-42837: Weijia Dai (@dwj1210) із Momo Security

Kernel

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2022-46689: Ian Beer із Google Project Zero

libxml2

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2022-40303: Медді Стоун (Maddie Stone) із Google Project Zero

libxml2

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: віддалений користувач може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2022-40304: Нед Вільямсон (Ned Williamson) та Нейтан Вахгольц (Nathan Wachholz) із Google Project Zero

ppp

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2022-42840: анонімний дослідник

Preferences

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: програма може виконувати довільне надання прав

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2022-42855: Ivan Fratric із Google Project Zero

Safari

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: відвідування вебсайту, який містить шкідливий контент, може призвести до підміни інтерфейсу користувача.

Опис: під час обробки URL-адрес виникала проблема підміни. Цю проблему вирішено завдяки вдосконаленню перевірки вводу.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

TCC

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2022-46718: Майкл (Biscuit) Томас

Запис додано 1 травня 2023 р.

Weather

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2022-46703: Войцех Регула (Wojciech Reguła, @_r3ggi) із SecuRing і анонімний дослідник

Запис додано 16 березня 2023 р.

WebKit

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 245464
CVE-2023-23496: ChengGang Wu, Yan Kang, YuHao Hu, Yue Sun, Jiming Wang, JiKai Ren і Hang Shu з Інституту обчислювальних технологій Китайської академії наук

Запис додано 16 березня 2023 р.

WebKit

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: відвідування шкідливих вебсайтів може призводити до підміни адресного рядка.

Опис: під час обробки URL-адрес виникала проблема підміни. Цю проблему вирішено завдяки вдосконаленню перевірки вводу.

CVE-2022-46705: Хьон Парк (Hyeon Park, @tree_segment) з Team ApplePIE

Запис додано 16 березня 2023 р.

WebKit

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: проблему з використанням пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

WebKit Bugzilla: 245466
CVE-2022-46691: анонімний дослідник

WebKit

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебвмісту може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2022-42852: hazbinhotel у співпраці з Trend Micro Zero Day Initiative

WebKit

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебвмісту може призводити до обходу політики одного джерела (Same Origin Policy)

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß із Google V8 Security

WebKit

Доступно для: iPhone 6s (усі моделі), iPhone 7 (усі моделі), iPhone SE (1-го покоління), iPad Pro (усі моделі), iPad Air 2 та новіших моделей, iPad 5-го покоління та новіших, iPad mini 4 та новіших моделей, iPod touch (7-го покоління)

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду. Компанії Apple відомо про те, що ця проблема, можливо, активно використовувалася у версіях iOS, випущених до iOS 15.1.

Опис: проблему переплутування типів вирішено завдяки вдосконаленню обробки станів.

WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne із Threat Analysis Group компанії Google

 

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: