Om sikkerhedsindholdet i iOS 15.7.8 og iPadOS 15.7.8

I dette dokument beskrives sikkerhedsindholdet i iOS 15.7.8 og iPadOS 15.7.8.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 15.7.8 og iPadOS 15.7.8

Udgivet 24. juli 2023

Accessibility

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2023-40442: Nick Brook

Post tilføjet 8. september 2023

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-34425: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab

Post tilføjet 27. juli 2023

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone 8 og nyere modeller, iPad Pro (3. generation) og nyere modeller, iPad Air (3. generation) og nyere modeller og iPad mini (5. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-23540: Mohamed GHANNAM (@_simo36)

CFNetwork

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2023-40392: Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 8. september 2023

Find My

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2023-32416: Wojciech Regula fra SecuRing (wojciechregula.blog)

FontParser

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: Behandling af et skriftarkiv kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 15.7.1.

Beskrivelse: Problemet er løst ved forbedret håndtering af buffere.

CVE-2023-41990: Apple, Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky

Post tilføjet 8. september 2023

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-38603: Zweig fra Kunlun Lab

Post tilføjet 27. juli 2023

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2023-38590: Zweig fra Kunlun Lab

Post tilføjet 27. juli 2023

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.

CVE-2023-38598: Mohamed GHANNAM (@_simo36)

Post tilføjet 27. juli 2023

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2023-36495: 香农的三蹦子 fra Pangu Lab

Post tilføjet 27. juli 2023

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2023-37285: Arsenii Kostromin (0x3c3e)

Post tilføjet 27. juli 2023

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2023-38604: En anonym programmør

Post tilføjet 27. juli 2023

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2023-32441: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs SG Pte. Ltd.

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan forårsage, at en følsom kernestatus ændres. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet i tidligere versioner af iOS fra før iOS 15.7.1.

Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2023-38606: Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_) og Boris Larin (@oct0xor) fra Kaspersky

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.

CVE-2023-32433: Zweig fra Kunlun Lab

CVE-2023-35993: Kaitao Xie og Xiaolong Bai fra Alibaba Group

Kernel

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2023-38603: Zweig fra Kunlun Lab

Post tilføjet 22. december 2023

libxpc

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan forårsage et DoS-angreb

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2023-38593: Noah Roskin-Frazee

Post tilføjet 27. juli 2023

libxpc

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis få adgang til rodrettigheder

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2023-38565: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab (xlab.tencent.com)

Post tilføjet 27. juli 2023

Security

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2023-42831: James Duffy (mangoSecure)

Post tilføjet 22. december 2023

Weather

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En app kan muligvis bestemme en brugers aktuelle lokalitet

Beskrivelse: Problemet blev løst med forbedret redigering af følsomme oplysninger.

CVE-2023-38605: Adam M.

Post tilføjet 8. september 2023

WebKit

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: Et websted kan potentielt spore følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

WebKit Bugzilla: 257822

CVE-2023-38599: Hritvik Taneja, Jason Kim, Jie Jeff Xu, Stephan van Schaik, Daniel Genkin og Yuval Yarom

Post tilføjet 27. juli 2023

WebKit

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: Behandling af dokument kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Problemet er løst ved forbedret kontrol.

WebKit Bugzilla: 257299

CVE-2023-32445: Johan Carlsson (joaxcar)

Post tilføjet 27. juli 2023

WebKit

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: Behandling af webindhold kan medføre kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 259231

CVE-2023-37450: En anonym programmør

Post tilføjet 27. juli 2023

WebKit

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: Et websted kan muligvis omgå politikken om samme oprindelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 256549

CVE-2023-38572: Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – Indien

WebKit

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: En ekstern hacker kan muligvis frigøre sig fra sin sandbox med webindhold. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

WebKit Bugzilla: 255350

CVE-2023-32409: Clément Lecigne fra Google's Threat Analysis Group og Donncha Ó Cearbhaill fra Amnesty International’s Security Lab

WebKit

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 256865

CVE-2023-38594: Yuhao Hu

WebKit Process Model

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 258100

CVE-2023-38597: 이준성(Junsung Lee) fra Cross Republic

WebKit Web Inspector

Tilgængelig til: iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation)

Effekt: Behandling af webindhold kan afsløre følsomme oplysninger

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 256932

CVE-2023-38133: YeongHyeon Choi (@hyeon101010)

Yderligere anerkendelser

Mail

Vi vil gerne takke Parvez Anwar for hjælpen.

Screenshots

Vi vil gerne takke Eric Williams (@eric5310pub), Yannik Bloscheck (yannikbloscheck.com), Dametto Luca og Casati Jacopo for hjælpen.

Post tilføjet 8. september 2023

WebKit

Vi vil gerne takke Narendra Bhati (twitter.com/imnarendrabhati) fra Suma Soft Pvt. Ltd, Pune – Indien for hjælpen.

Post tilføjet 27. juli 2023

WebRTC

Vi vil gerne takke en anonym programmør for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: