Om sikkerhedsindholdet i iPadOS 17.7.3

I dette dokument beskrives sikkerhedsindholdet i iPadOS 17.7.3.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iPadOS 17.7.3

FontParser

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-54500: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative

Kernel

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: En hacker kan muligvis oprette en skrivebeskyttet hukommelsestilknytning, der kan skrives til

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-54494: sohybbyk

Kernel

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: En app kan forårsage, at der lækkes en følsom kernestatus

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Kernel

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: En app kan forårsage uventet systemlukning eller korrupt kernehukommelse

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-44245: en anonym programmør

libarchive

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: Behandling af et skadeligt arkiv kan føre til DoS-angreb (Denial of Service)

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-44201: Ben Roeder

libexpat

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: En ekstern hacker kan få adgang til at udføre uventet applukning eller køre vilkårlig kode

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-ID på cve.org.

CVE-2024-45490

libxpc

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: En hacker i en privilegeret netværksposition kan ændre netværkstrafik

Beskrivelse: Dette problem er løst ved at bruge HTTPS under afsendelse af oplysninger over netværket.

CVE-2024-54492: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. (@mysk_co)

Safari

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: På en enhed med Privat datatrafik slået til kan tilføjelsen af et websted til læselisten i Safari muligvis vise webstedets oprindelige IP-adresse

Beskrivelse: Problemet blev løst ved forbedret routing af anmodninger, der stammer fra Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: Behandling af et skadeligt arkiv kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

VoiceOver

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: En hacker med fysisk adgang til en iPadOS-enhed kan muligvis se notifikationsindhold fra låseskærmen

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India

WebKit

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-54479: Seunghyun Lee

WebKit

Tilgængelig til: 12,9" iPad Pro (2. generation), 10,5" iPad Pro og iPad (6. generation)

Effekt: Behandling af webindhold med skadelig kode kan føre til beskadiget hukommelse

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-54505: Gary Kwong

Yderligere anerkendelser

Proximity

Vi vil gerne takke Junming C. (@Chapoly1305) og Prof. Qiang Zeng fra George Mason University for hjælpen.