Az Apple 26-án este nagy frissítést tartott, érkezett új iOS, iPadOS, watchOS, tvOS és macOS verzió is.

Az iOS 15.3 pedig 10 fontos biztonsági hibát is kijavított, melyeket például a 9to5Mac-nél is részletesen kigyűjtöttek az Apple biztonsági frissítéseit felsoroló oldala alapján. Nézzük is meg őket!

Az összes hiba érintette az összes olyan eszközt, amin fut az iOS/iPadOS 15, vagyis az iPhone 6s-nél újabb iPhone-okat, az összes iPad Pro modellt, az iPad Air 2-t vagy újabbat, az 5. generációs iPadet vagy újabbat, az iPad mini 4-et vagy újabbat és a 7. generációs iPod touch-ot.

Lehet, hogy az iOS 15.3 nem tűnik elsőnek olyan nagy frissítésnek, de ezen hibák javításai miatt bőven megéri telepíteni.

ColorSync (CVE-2022-22584)

Hatás: előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Javítás leírása: hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.

Forrás: Mickey Jin (@patch1t) a Trend Micro-tól.

Crash Reporter (CVE-2022-22578)

Hatás: rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Javítás leírása: hatékonyabb ellenőrzéssel elhárítottak egy logikai hibát.

Forrás: egy névtelen kutató.

iCloud (CVE-2022-22585)

Hatás: előfordult, hogy az alkalmazások hozzá tudtak férni egy felhasználó fájljaihoz.

Javítás leírása: egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárították el a problémát.

Forrás: Zhipeng Huo (@R3dF09) a Tencent Security Xuanwu Lab-tól

IOMobileFrameBuffer (CVE-2022-22587)

Hatás: a kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Javítás leírása: hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

Források: egy névtelen kutató, Meysam Firouzi (@R00tkitSMM) a MBition – Mercedes-Benz Innovation Lab-tól, Siddharth Aeri (@b1n4r1b01)

Kernel (CVE-2022-22593)

Hatás: a kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Javítás leírása: hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

Forrás: Peter Nguyễn Vũ Hoàng a STAR Labs-tól

Model I/O (CVE-2022-22579)

Hatás: az ártó szándékkal létrehozott STL-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Javítás leírása: hatékonyabb állapotkezeléssel elhárítottak egy adatfelfedési problémát.

Forrás: Mickey Jin (@patch1t) a Trend Micro-tól

Webkit (CVE-2022-22589)

Hatás: előfordult, hogy az ártó szándékkal létrehozott levelek feldolgozásakor tetszőleges JavaScript futtatására került sor.

Javítás leírása: beviteltisztítással elhárítottak egy érvényesítési hibát.

Forrás: Heige a KnownSec 404 Team-től (knownsec.com) és Bo Qu of Palo Alto Networks-tól (paloaltonetworks.com)

Webkit (CVE-2022-22590)

Hatás: az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Javítás leírása: hatékonyabb memóriakezeléssel elhárítottak egy felszabadítás utáni használattal kapcsolatos problémát.

Forrás: Toan Pham from Team Orca a Sea Security-től (security.sea.com)

Webkit (CVE-2022-22592)

Hatás: az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.

Javítás leírása: hatékonyabb állapotkezeléssel elhárítottak egy logikai problémát.

Forrás: Prakash (@1lastBr3ath)

WebKit tárhely (CVE-2022-22594)

Hatás: a webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.

Javítás leírása: hatékonyabb bevitel-ellenőrzéssel elhárítottak egy kereszteredet-problémát az IndexDB API-ban.

Forrás: Martin Bajanik a FingerprintJS-től

Az Apple emellett külön köszönetet mondott a WebKit hibák feldolgozásánál Prakash-nak (@1lastBr3ath).

Te frissítettél már?