Informace o bezpečnostním obsahu iPadOS  17.7.3

Tento dokument popisuje bezpečnostní obsah iPadOS 17.7.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iPadOS 17.7.3

FontParser

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-54486: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

ImageIO

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-54500: Junsung Lee ve spolupráci se Zero Day Initiative společnosti Trend Micro

Kernel

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Útočníkovi se může podařit vytvořit mapování paměti pouze ke čtení, do které se dá zapisovat.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2024-54494: sohybbyk

Kernel

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém se souběhem byl vyřešen vylepšením zamykání.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) z týmu MIT CSAIL

Kernel

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo poškodit paměť jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-44245: anonymní výzkumník

libarchive

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2024-44201: Ben Roeder

libexpat

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu

Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.

CVE-2024-45490

libxpc

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit změnit síťový provoz.

Popis: Tento problém byl vyřešen použitím protokolu HTTPS při odesílání informací přes síť.

CVE-2024-54492: Talal Haj Bakry a Tommy Mysk ze společnosti Mysk Inc. (@mysk_co)

Safari

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Na zařízení se zapnutým Soukromým přenosem může přidání webové stránky do Seznamu četby v Safari webové stránce odhalit IP adresu původu.

Popis: Problém byl vyřešen zlepšením směrování požadavků pocházejících ze Safari.

CVE-2024-44246: Jacob Braun

SceneKit

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-54501: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

VoiceOver

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Útočníkovi s fyzickým přístupem k iPadOS zařízení se může podařit zobrazit obsah oznámení ze zamčené obrazovky.

Popis: Problém byl vyřešen přidáním další logiky.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) z C-DAC Thiruvananthapuram India

WebKit

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-54479: Seunghyun Lee

WebKit

K dispozici pro: 12,9palcový iPad Pro 2. generace, 10,5palcový iPad Pro a iPad 6. generace

Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.

CVE-2024-54505: Gary Kwong

Další poděkování

Proximity

Poděkování za pomoc zaslouží Junming C. (@Chapoly1305) a Prof. Qiang Zeng z George Mason University.