Informace o bezpečnostním obsahu iOS 17.3 a iPadOS 17.3

Tento dokument popisuje bezpečnostní obsah iOS 17.3 a iPadOS 17.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iOS 17.3 a iPadOS 17.3

Vydáno 22. ledna 2024

Apple Neural Engine

K dispozici pro zařízení s Apple Neural Enginem: iPhone XS a novější, 12,9palcový iPad Pro 3. generace a novější, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 8. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-23212: Ye Zhang z týmu Baidu Security

CoreCrypto

K dispozici pro: iPhone XS a novější, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi se může podařit dešifrovat starší šifrované texty RSA PKCS#1 v1.5 bez privátního klíče.

Popis: Časový útok postranním kanálem byl vyřešen vylepšením výpočtu časové konstanty v kryptografických funkcích.

CVE-2024-23218: Clemens Lang

Kernel

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-23208: fmyy (@binary_fmyy) a lime z týmu TIANGONG z Legendsec skupiny QI-ANXIN Group

libxpc

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.

CVE-2024-23201: Koh M. Nakagawa z FFRI Security, Inc. a anonymní výzkumník

Záznam přidán 7. března 2024

Mail Search

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

CVE-2024-23207: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab) a Ian de Marcellus

Notes

Dopad: Obsah zamčených poznámek mohl být neočekávaně odemčen.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-23228: Harsh Tyagi

Záznam přidán 24. dubna 2024

NSSpellChecker

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním souborů.

CVE-2024-23223: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

Power Manager

Dopad: Aplikaci se může podařit narušit paměť koprocesoru.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd.

Záznam přidán 24. dubna 2024

Reset Services

K dispozici pro: iPhone XS a novější

Dopad: Ochrana odcizeného zařízení může být neočekávaně vypnuta.

Popis: Problém byl vyřešen vylepšením ověřování.

CVE-2024-23219: Peter Watthey a Christian Scalese

Safari

Dopad: V Nastavení může být viditelná soukromá aktivita prohlížení uživatele.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním uživatelských předvoleb.

CVE-2024-23211: Mark Bowers

Shortcuts

Dopad: Zkratka může být schopna při určitých akcích získat citlivé údaje bez vyzvání uživatele.

Popis: Problém byl vyřešen dalšími kontrolami oprávnění.

CVE-2024-23203: anonymní výzkumník

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Dopad: Aplikaci se může podařit obejít určité předvolby soukromí.

Popis: Problém se soukromím byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.

Popis: Problém byl vyřešen lepším zpracováváním dočasných souborů.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Dopad: Aplikaci se může podařit zobrazit telefonní číslo uživatele v protokolech systému.

Popis: Problém byl vyřešen vylepšením mazání citlivých údajů.

CVE-2024-23210: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

WebKit

Dopad: Škodlivému webu se může podařit vytvořit reprezentaci uživatele.

Popis: Problém s přístupem byl vyřešen vylepšením přístupových omezení.

WebKit Bugzilla: 262699

CVE-2024-23206: anonymní výzkumník

WebKit

Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

WebKit Bugzilla: 266619

CVE-2024-23213: Wangtaiyu z týmu Zhongfu info

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

WebKit Bugzilla: 265129

CVE-2024-23214: Nan Wang (@eternalsakura13) z organizace 360 Vulnerability Research Institute

WebKit

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být zneužit.

Popis: Problém se záměnou typů byl vyřešen vylepšením kontrol.

WebKit Bugzilla: 267134

CVE-2024-23222

WebKit

Dopad: Škodlivý web může způsobit neočekávané chování napříč původy.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

WebKit Bugzilla: 265812

CVE-2024-23271: James Lee (@Windowsrcer)

Záznam přidán 24. dubna 2024

Další poděkování

NetworkExtension

Poděkování za pomoc zaslouží Nils Rollshausen.

Záznam přidán 24. dubna 2024

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: 12. června 2024