Apple hat am heutigen Abend iOS 15.3, iPadOS 15.3 und mehr für alle Anwender weltweit veröffentlicht. Dabei wurden insgesamt 10 gefährliche Sicherheitslücken geschlossen, darunter das Safari-Webbrowsing-Problem und eine Schwachstelle, durch die bösartige Apps Root-Rechte erhalten können, und mehr.
Das Safari-Webbrowsing-Problem, das den Suchverlauf und die Google ID lecken konnte, war bereits bekannt. Doch iOS 15.3 und Co. beheben deutlich mehr Schwachstellen, wie Apple nun bekannt gegeben hat. Neben der Sicherheitslücke im Safari-Webbrowser wurden auch andere Sicherheitsprobleme behoben, wie z. B. das Erlangen von Root-Rechten durch Apps, das Ausführen von beliebigem Code mit Kernel-Rechten, der Zugriff auf Benutzerdateien durch einen iCloud-Fehler und mehr. Nachfolgend haben wir euch die Liste, die Apple in der Zwischenzeit veröffentlicht hat, angehängt. (Photo by blackboard / Bigstockphoto)
iOS 15.3, macOS 12.2 und Co. beheben viele Schwachstellen
ColorSync
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen.
- Beschreibung: Ein Problem der Speicherkorruption wurde mit einer verbesserten Validierung behoben.
- CVE-2022-22584: Mickey Jin (@patch1t) von Trend Micro
Crash Reporter
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
- Beschreibung: Ein Logikproblem wurde durch eine verbesserte Validierung behoben.
iCloud
- Verfügbar für: iPhone 6s und höher, iPad Pro (alle Modelle), iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher sowie iPod touch (7. Generation)
- Auswirkungen: Eine Anwendung kann möglicherweise auf die Dateien eines Benutzers zugreifen
- Beschreibung: Es gab ein Problem in der Pfadvalidierungslogik für Symlinks. Dieses Problem wurde durch eine verbesserte Pfadbereinigung behoben.
- CVE-2022-22585: Zhipeng Huo (@R3dF09) von Tencent Security Xuanwu Lab (https://xlab.tencent.com)
IOMobileFrameBuffer
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Eine bösartige Anwendung kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen. Apple ist ein Bericht bekannt, der besagt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.
- Beschreibung: Ein Problem der Speicherkorruption wurde mit einer verbesserten Eingabevalidierung behoben.
- CVE-2022-22587: ein anonymer Forscher, Meysam Firouzi (@R00tkitSMM) von MBition – Mercedes-Benz Innovation Lab, Siddharth Aeri (@b1n4r1b01)
Kernel
- Verfügbar für: iPhone 6s und höher, iPad Pro (alle Modelle), iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher sowie iPod touch (7. Generation)
- Auswirkungen: Eine böswillige Anwendung kann möglicherweise beliebigen Code mit den Rechten des Kernels ausführen
- Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Speicherbehandlung behoben.
- CVE-2022-22593: Peter Nguyễn Vũ Hoàng von STAR Labs
Modell I/O
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten STL-Datei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen.
- Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch eine verbesserte Zustandsverwaltung behoben.
- CVE-2022-22579: Mickey Jin (@patch1t) von Trend Micro
WebKit
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann dazu führen, dass beliebiges Javascript ausgeführt wird.
- Beschreibung: Ein Validierungsproblem wurde mit einer verbesserten Eingabensanitisierung behoben.
- CVE-2022-22589: Heige vom KnownSec 404 Team (knownsec.com) und Bo Qu von Palo Alto Networks (paloaltonetworks.com)
WebKit
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
- Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
- CVE-2022-22590: Toan Pham vom Team Orca von Sea Security (security.sea.com)
WebKit
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann die Durchsetzung der Content Security Policy verhindern
- Beschreibung: Ein logisches Problem wurde durch eine verbesserte Zustandsverwaltung behoben.
- CVE-2022-22592: Prakash (@1lastBr3ath)
WebKit-Speicher
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Eine Website kann möglicherweise sensible Nutzerdaten verfolgen
- Beschreibung: Ein herkunftsübergreifendes Problem in der IndexDB API wurde durch eine verbesserte Eingabevalidierung behoben.
- CVE-2022-22594: Martin Bajanik von FingerprintJS
