Om sikkerhedsindholdet i iOS 16.7.9 og iPadOS 16.7.9

I dette dokument beskrives sikkerhedsindholdet i iOS 16.7.9 og iPadOS 16.7.9.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 16.7.9 og iPadOS 16.7.9

CoreGraphics

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40799: D4m0n

CoreMedia

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

ImageIO

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40806: Yisumi

ImageIO

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2024-40784: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Gandalf4a

Kernel

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

NetworkExtension

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Privat browser kan lække privat browserhistorik

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-40796: Adam M.

Photos Storage

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2024-40778: Mateen Alinaghi

Security

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En app kan muligvis læse browserhistorikken i Safari

Beskrivelse: Problemet er løst via forbedret bortredigering af følsomme oplysninger.

CVE-2024-40798: Adam M.

Shortcuts

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40833: en anonym programmør

CVE-2024-40835: en anonym programmør

CVE-2024-40836: en anonym programmør

Shortcuts

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40809: en anonym programmør

CVE-2024-40812: en anonym programmør

Siri

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40818: Bistrit Dahal og Srijan Poudel

Siri

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En hacker kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-40786: Bistrit Dahal

Siri

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En hacker med fysisk adgang til en enhed kan muligvis få adgang til kontakter fra låseskærmen

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40822: Srijan Poudel

Siri

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En sandbox-app kan muligvis få adgang til følsomme brugerdata i systemlogarkiver

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44205: Jiahui Hu (梅零落) og Meng Zhang (鲸落) fra NorthSea

VoiceOver

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: En hacker kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien

WebKit

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40789: Seunghyun Lee (@0x10n) fra KAIST Hacking Lab, der arbejder med Trend Micro Zero Day Initiative

WebKit

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2024-40776: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2024-40779: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin fra Ant Group Light-Year Security Lab

WebKit

Fås til: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. generation, iPad Pro 9,7" og iPad Pro 12,9" 1. generation

Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Problemet er løst via forbedret kontrol.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

Yderligere anerkendelser

Shortcuts

Vi vil gerne takke en anonym programmør for hjælpen.