Opravy chyb (vydáno 27. března 2023)
Accessibility
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Aplikaci se může podařit číst údaje o uživatelově kontaktech.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-23541: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
Calendar
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Import škodlivé kalendářové pozvánky může vést k úniku uživatelských informací.
Popis: Několik problémů s ověřováním bylo vyřešeno vylepšením sanitizace vstupů.
CVE-2023-27961: Rıza Sabuncu (@rizasabuncu)
Camera
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Aplikaci v sandboxu se může podařit zjistit, která aplikace momentálně používá kameru.
Popis: Problém byl vyřešen přidáním dalších omezení k viditelnosti stavů aplikací.
CVE-2023-23543: Yiğit Can YILMAZ (@yilmazcanyigit)
CommCenter
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2023-27936: Tingting Yin z univerzity Tsinghua
Find My
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-23537: anonymní výzkumník
FontParser
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-27956: Ye Zhang z týmu Baidu Security
Identity Services
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Aplikaci se může podařit číst údaje o uživatelově kontaktech.
Popis: Problém s ochranou soukromí byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2023-27928: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
ImageIO
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2023-27946: Mickey Jin (@patch1t)
ImageIO
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2023-23535: ryuzaki
Kernel
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2023-27941: Arsenii Kostromin (0x3c3e)
Kernel
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněním jádra.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2023-27969: Adam Doupé ze společnosti ASU SEFCOM
Model I/O
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2023-27949: Mickey Jin (@patch1t)
NetworkExtension
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Uživatel v privilegované pozici v síti může být schopen podvrhnout server VPN, který je v zařízení nakonfigurován s ověřováním pouze pomocí protokolu EAP.
Popis: Problém byl vyřešen vylepšením ověřování.
CVE-2023-28182: Zhuowei Zhang
Shortcuts
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Zkratka může být schopna při určitých akcích získat citlivé údaje bez vyzvání uživatele.
Popis: Problém byl vyřešen dalšími kontrolami oprávnění.
CVE-2023-27963: Jubaer Alnazi Jabin ze skupiny společností TRS a Wenchao Li a Xiaolong Bai z týmu Alibaba Group
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Weby můžou sledovat citlivá data uživatelů.
Popis: Problém byl vyřešen odebráním informací o původu.
WebKit Bugzilla: 250837
CVE-2023-27954: anonymní výzkumník
WebKit
K dispozici pro: iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Air 2, iPad mini (4. generace a novější) a iPod touch (7. generace)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být aktivně zneužit.
Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.
WebKit Bugzilla: 251944
CVE-2023-23529: anonymní výzkumník