關於 iOS 16.7.3 和 iPadOS 16.7.3 的保安內容

為保障顧客的安全，在完成調查並提供修補程式或更新版本之前，Apple 將不會披露、討論或確認保安問題。最近更新版本已列於 Apple 保安發佈網頁。

Apple 保安文件會盡可能以 CVE-ID 來提述保安漏洞。

有關保安的詳情，請參閱 Apple 產品保安網頁。

2023 年 12 月 11 日發佈

Accounts

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：app 可能得以取用敏感用戶資料

說明：改進記錄輸入項目的私人資料修訂機制後，已解決私隱問題。

CVE-2023-42919：Kirin (@Pwnrin)

Assets

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：app 可能得以修改檔案系統的受保護部分

說明：改進暫存檔案的處理機制後，已解決問題。

CVE-2023-42896：Mickey Jin (@patch1t)

2024 年 3 月 22 日新增項目

AVEVideoEncoder

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：app 可能得以披露核心記憶體

說明：改進敏感資料修訂機制後，已解決此問題。

CVE-2023-42884：匿名研究員

CallKit

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：遙距攻擊者或可導致阻斷服務

說明：改進檢查機制後，已解決問題

CVE-2023-42962：Aymane Chabat

2024 年 3 月 22 日新增項目

Find My

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：app 可能得以讀取敏感的位置資料

說明：改進敏感資料修訂機制後，已解決此問題。

CVE-2023-42922：SecuRing 的 Wojciech Regula (wojciechregula.blog)

ImageIO

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：處理影像可能導致執行任意程式碼

說明：改進記憶體處理機制後，已解決此問題。

CVE-2023-42899：Meysam Firouzi @R00tkitSMM 和 Junsung Lee

IOUSBDeviceFamily

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：app 或可以核心權限執行任意程式碼

說明：改進狀態處理機制後，已解決競爭條件問題。

CVE-2023-42974：STAR Labs SG Pte. Ltd. 的 Pan ZhenPeng (@Peterpan0927) 

2024 年 3 月 22 日新增項目

Kernel

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：app 可能得以打破其 Sandbox

說明：改進記憶體處理機制後，已解決此問題。

CVE-2023-42914：Synacktiv (@Synacktiv) 的 Eloi Benoist-Vanderbeken (@elvanderb)

Libsystem

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：app 可能得以取用受保護用戶資料

說明：移除易受攻擊的程式碼並加入額外的檢查機制後，已解決權限問題。

CVE-2023-42893

2024 年 3 月 22 日新增項目

WebKit

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：處理影像可能導致阻斷服務

說明：改進記憶體處理機制後，已解決此問題。

WebKit Bugzilla：263349
CVE-2023-42883：Zoom Offensive Security Team

WebKit

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：處理網頁內容可能導致執行任意程式碼。Apple 注意到有報告指，此問題可能在 iOS 16.7.1 前的 iOS 版本中被利用。

說明：改進鎖定機制後，已修補記憶體損毀漏洞。

WebKit Bugzilla：265067
CVE-2023-42917：Google Threat Analysis Group 的 Clément Lecigne

WebKit

適用於：iPhone 8、iPhone 8 Plus、iPhone X、iPad (第 5 代)、iPad Pro 9.7 吋和 iPad Pro 12.9 吋 (第 1 代)

影響：處理網頁內容可能會披露敏感資料。Apple 注意到有報告指，此問題可能在 iOS 16.7.1 前的 iOS 版本中被利用。

說明：改進輸入驗證機制後，已解決超出界限的讀取問題。

WebKit Bugzilla：265041
CVE-2023-42916：Google Threat Analysis Group 的 Clément Lecigne