Om sikkerhedsindholdet i iOS 17.7.1 og iPadOS 17.7.1

I dette dokument beskrives sikkerhedsindholdet i iOS 17.7.1 og iPadOS 17.7.1.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

Om sikkerhedsindholdet i iOS 17.7.1 og iPadOS 17.7.1

Udgivet 28. oktober 2024

Accessibility

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)

Effekt: En hacker med fysisk adgang til en låst enhed kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet blev løst ved forbedret godkendelse.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

Effekt: Parsing af et skadeligt videoarkiv kan føre til pludselig systemlukning

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2024-44232: Ivan Fratric fra Google Project Zero

CVE-2024-44233: Ivan Fratric fra Google Project Zero

CVE-2024-44234: Ivan Fratric fra Google Project Zero

Post tilføjet 01. november 2024

CoreText

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44240: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Foundation

Effekt: Parsing af et arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret inputvalidering.

CVE-2024-44282: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Effekt: Behandling af et billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2024-44215: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative

ImageIO

Effekt: Behandling af en besked med skadeligt indhold kan medføre et DoS-angreb

Beskrivelse: Problemet er løst med forbedrede kontroller af grænser.

CVE-2024-44297: Jex Amro

Kernel

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver

Beskrivelse: Problemet er løst via forbedret håndtering af symbolske links.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Virkning: Gendannelse af en ondsindet sikkerhedskopifil kan føre til ændring af beskyttede systemarkiver

Beskrivelse: Et logikproblem er løst ved forbedret filhåndtering.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

Effekt: Behandling af skadeligt webindhold kan medføre overtrædelse af sandbox-politikken for iframe

Beskrivelse: Der var et problem med håndtering af et specielt URL-adresseskema, som er løst ved forbedret inputvalidering.

CVE-2024-44155: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

Safari Downloads

Effekt: En hacker kan muligvis misbruge et tillidsforhold til at downloade skadeligt indhold

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

SceneKit

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2024-44144: 냥냥

SceneKit

Effekt: Behandling af et skadeligt arkiv kan medføre beskadigelse af heap

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2024-44218: Michael DePlante (@izobashi) fra Trend Micro Zero Day Initiative

Shortcuts

Effekt: En skadelig app kan muligvis bruge genveje til at få adgang til begrænsede arkiver

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-44269: en anonym programmør

Siri

Effekt: En sandbox-app kan muligvis tilgå følsomme brugerdata i systemlogarkiver

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

Effekt: En hacker kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Problemet er løst via forbedrede kontroller.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security hos Suma Soft Pvt. Ltd, Pune (Indien)

Yderligere anerkendelser

Security

Vi vil gerne takke Bing Shi, Wenchao Li og Xiaolong Bai fra Alibaba Group for hjælpen.

Spotlight

Vi vil gerne takke Paulo Henrique Batista Rosa de Castro (@paulohbrc) for hjælpen.

WebKit

Vi vil gerne takke Eli Grey (eligrey.com) for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 13. november 2024