Om sikkerhedsindholdet i iOS 17.4 og iPadOS 17.4

I dette dokument beskrives sikkerhedsindholdet i iOS 17.4 og iPadOS 17.4.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 17.4 og iPadOS 17.4

Udgivet 5. marts 2024

Accessibility

Fås til: iPhone XS og nyere modeller, iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-23243: Cristian Dinca fra "Tudor Vianu" National High School of Computer Science, Rumænien

Accessibility

Effekt: En app kan muligvis efterligne systemnotifikationer og grænseflader

Beskrivelse: Problemet er løst via ekstra rettighedskontroller.

CVE-2024-23262: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

Post tilføjet 7. marts 2024

Accessibility

Effekt: En skadelig app kan muligvis observere brugerdata i logposter relateret til tilgængelighedsnotifikationer

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-23291

Post tilføjet 7. marts 2024

AppleMobileFileIntegrity

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-23288: Wojciech Regula fra SecuRing (wojciechregula.blog) og Kirin (@Pwnrin)

Post tilføjet 7. marts 2024

Bluetooth

Effekt: En hacker i en privilegeret netværksposition kan muligvis indsætte tastetryk ved at efterligne et tastatur

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-23277: Marc Newlin fra SkySafe

Post tilføjet 7. marts 2024

CoreBluetooth - LE

Effekt: En app kan muligvis få adgang til Bluetooth-forbundne mikrofoner uden brugertilladelse

Beskrivelse: Et adgangsproblem er løst via forbedrede adgangsbegrænsninger.

CVE-2024-23250: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

Post tilføjet 7. marts 2024

ExtensionKit

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-23205

Post tilføjet 7. marts 2024

file

Effekt: Behandling af et arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2022-48554

Post tilføjet 7. marts 2024

Image Processing

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-23270: en anonym programmør

Post tilføjet 7. marts 2024

ImageIO

Effekt: Behandling af et billede kan medføre afvikling af vilkårlig kode

Beskrivelse: Et problem med bufferoverløb er løst via forbedret hukommelseshåndtering.

CVE-2024-23286: Junsung Lee, der arbejder med Trend Micros Zero Day Initiative, Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) samt Lyutoon og Mr.R

Post tilføjet 7. marts 2024, opdateret 29. maj 2024

Kernel

Effekt: En hacker med vilkårlig mulighed for at læse fra og skrive til kernen kan muligvis omgå kernehukommelsesbeskyttelser. Apple er opmærksom på, at dette problem kan være blevet udnyttet.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2024-23225

Kernel

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-23235

Post tilføjet 7. marts 2024

Kernel

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er løst via forbedret låsning.

CVE-2024-23265: Xinru Chi fra Pangu Lab

Post tilføjet 7. marts 2024

libxpc

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-23278: en anonym programmør

Post tilføjet 7. marts 2024

libxpc

Effekt: En app kan muligvis køre vilkårlig kode fra sin sandbox eller med bestemte ekstra rettigheder

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-0258: ali yabuz

Post tilføjet 7. marts 2024

MediaRemote

Effekt: Et skadeligt program kan muligvis få adgang til private oplysninger

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-23297: scj643

Post tilføjet 7. marts 2024

Messages

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af midlertidige arkiver.

CVE-2024-23287: Kirin (@Pwnrin)

Post tilføjet 7. marts 2024

Metal

Effekt: En app kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst via forbedret rensning af input.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 7. marts 2024

Photos

Effekt: Ryst for at fortryde kan muligvis tillade, at et slettet billede vises igen uden godkendelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-23240: Harsh Tyagi

Post tilføjet 7. marts 2024

Photos

Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2024-23255: Harsh Tyagi

Post tilføjet 7. marts 2024

RTKit

Effekt: En hacker med vilkårlig mulighed for at læse fra og skrive til kernen kan muligvis omgå kernehukommelsesbeskyttelser. Apple er opmærksom på, at dette problem kan være blevet udnyttet.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2024-23296

Safari

Effekt: En app kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet er løst via forbedret håndtering af buffere.

CVE-2024-23220

Post tilføjet 7. marts 2024

Safari

Effekt: Behandling af webindhold kan føre til DoS-angreb

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-23259: Lyra Rebane (rebane2001)

Post tilføjet 7. marts 2024

Safari Private Browsing

Effekt: En brugers låste faner kan kortvarigt være synlige, mens der skiftes mellem fanegrupper, når Låst Privat Browser er slået til

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2024-23256: Om Kothawade

Safari Private Browsing

Effekt: Private browsing-faner kan tilgås uden godkendelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-23273: Matej Rabzelj

Post tilføjet 7. marts 2024

Sandbox

Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: En konkurrencetilstand er løst via forbedret tilstandshåndtering.

CVE-2024-23239: Mickey Jin (@patch1t)

Post tilføjet 7. marts 2024

Sandbox

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2024-23290: Wojciech Regula fra SecuRing (wojciechregula.blog)

Post tilføjet 7. marts 2024

Share Sheet

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-23231: Kirin (@Pwnrin) og luckyu (@uuulucky)

Post tilføjet 7. marts 2024

Shortcuts

Effekt: En app kan muligvis få adgang til oplysninger om en brugers kontakter

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2024-23292: K宝 og LFY@secsys fra Fudan University

Post tilføjet 7. marts 2024

Siri

Effekt: En bruger med fysisk adgang til en enhed kan muligvis bruge Siri til at få adgang til private kalenderoplysninger

Beskrivelse: Et problem med låseskærmen er løst via forbedret statusadministration.

CVE-2024-23289: Lewis Hardy

Post tilføjet 7. marts 2024

Siri

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-23293: Bistrit Dahal

Post tilføjet 7. marts 2024

Spotlight

Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-23241

Post tilføjet 7. marts 2024

Synapse

Effekt: En app kan muligvis se Mail-data

Beskrivelse: Et anonymitetsproblem er løst ved ikke at logge indhold i tekstfelter.

CVE-2024-23242

Post tilføjet 7. marts 2024

UIKit

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-23246: Deutsche Telekom Security GmbH sponsoreret af Bundesamt für Sicherheit in der Informationstechnik

Post tilføjet 7. marts 2024

WebKit

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

Post tilføjet 7. marts 2024

WebKit

Effekt: Et skadeligt websted kan føre til cross-origin-eksfiltration af lyddata

Beskrivelse: Problemet er løst via forbedret håndtering af brugergrænsefladen.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

Post tilføjet 7. marts 2024

WebKit

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Et logikproblem er løst via forbedret validering.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

Post tilføjet 7. marts 2024

WebKit

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Et problem med indsættelse er løst via forbedret validering.

WebKit Bugzilla: 266703

CVE-2024-23280: en anonym programmør

Post tilføjet 7. marts 2024

WebKit

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber og Marco Squarcina

Post tilføjet 7. marts 2024

Yderligere anerkendelser

AirDrop

Vi vil gerne takke Cristian Dinca fra "Tudor Vianu" National High School of Computer Science i Rumænien for hjælpen.

CoreAnimation

Vi vil gerne takke Junsung Lee for hjælpen.

Post tilføjet 7. marts 2024

CoreMotion

Vi vil gerne takke Eric Dorphy fra Twin Cities App Dev LLC for hjælpen.

Post tilføjet 7. marts 2024

Find My

Vi vil gerne takke Meng Zhang (鲸落) fra NorthSea for hjælpen.

Post tilføjet 7. marts 2024

Kernel

Vi vil gerne takke Tarek Joumaa (@tjkr0wn) og 이준성 (Junsung Lee) for hjælpen.

Post tilføjet 7. marts 2024

libxml2

Vi vil gerne takke OSS-Fuzz og Ned Williamson fra Google Project Zero for hjælpen.

Post tilføjet 7. marts 2024

libxpc

Vi vil gerne takke Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) og en anonym programmør for hjælpen.

Post tilføjet 7. marts 2024

Mail Conversation View

Vi vil gerne takke en anonym programmør for hjælpen.

NetworkExtension

Vi vil gerne takke Mathy Vanhoef (KU Leuven University) for hjælpen.

Photos

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal for hjælpen.

Post tilføjet 7. marts 2024

Power Management

Vi vil gerne takke Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd. for hjælpen.

Post tilføjet 7. marts 2024

Safari

Vi vil gerne takke Abhinav Saraswat og Matthew C for hjælpen.

Post tilføjet 7. marts 2024

Sandbox

Vi vil gerne takke Zhongquan Li (@Guluisacat) for hjælpen.

Post tilføjet 7. marts 2024

Settings

Vi vil gerne takke Christian Scalese, Logan Ramgoon, Lucas Monteiro, Daniel Monteiro, Felipe Monteiro og Peter Watthey for hjælpen.

Shortcuts

Vi vil gerne takke Yusuf Kelany for hjælpen.

Post tilføjet 29. juli 2024

Siri

Vi vil gerne takke Bistrit Dahal for hjælpen.

Post tilføjet 7. marts 2024

Software Update

Vi vil gerne takke Bin Zhang fra Dublin City University for hjælpen.

Post tilføjet 7. marts 2024

WebKit

Vi vil gerne takke Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina og Lorenzo Veronese fra TU Wien for hjælpen.

Post tilføjet 7. marts 2024

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 13. august 2024