Tietoja iOS 17.3:n ja iPadOS 17.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 17.3:n ja iPadOS 17.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

iOS 17.3 ja iPadOS 17.3

Apple Neural Engine

Saatavilla Apple Neural Engineä käyttävissä laitteissa: iPhone XS ja sitä uudemmat, iPad Pro (12,9 tuumaa, 3. sukupolvi ja sitä uudemmat), iPad Pro (11 tuumaa, 1. sukupolvi ja sitä uudemmat), iPad Air (3. sukupolvi ja sitä uudemmat), iPad (8. sukupolvi ja sitä uudemmat) ja iPad mini (5. sukupolvi ja sitä uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23212: Ye Zhang (Baidu Security)

CoreCrypto

Saatavuus: iPhone XS ja sitä uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja sitä uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja sitä uudemmat), iPad Air (3. sukupolvi ja sitä uudemmat), iPad (6. sukupolvi ja sitä uudemmat) ja iPad mini (5. sukupolvi ja sitä uudemmat)

Vaikutus: hyökkääjä saattoi pystyä purkamaan vanhojen RSA PKCS#1 v1.5 ‑salaustekstien salauksen ilman yksityistä avainta.

Kuvaus: ajoituksen sivukanavan ongelma on ratkaistu parantamalla vakioajan laskentaa salaustoiminnoissa.

CVE-2024-23218: Clemens Lang

Kernel

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23208: fmyy(@binary_fmyy) ja lime (QI-ANXIN Groupin TIANGONG Team of Legendsec)

libxpc

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: sovellus saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-23201: Koh M. Nakagawa (FFRI Security, Inc.) ja nimetön tutkija

Mail Search

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2024-23207: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab), Ian de Marcellus

Notes

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Lukittujen muistiinpanojen sisältö saattoi aueta odottamattomalla tavalla.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23228: Harsh Tyagi

NSSpellChecker

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-23223: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

Power Manager

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä vioittamaan lisäprosessorin muistia.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Reset Services

Saatavuus: iPhone XS ja sitä uudemmat

Vaikutus: varastetun laitteen suojaus saattoi poistua odottamatta käytöstä.

Kuvaus: ongelma on ratkaistu parantamalla todennusta.

CVE-2024-23219: Peter Watthey ja Christian Scalese

Safari

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: käyttäjän yksityinen selaustoiminta saattoi näkyä Asetuksissa.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla käyttäjäasetuksien käsittelyä.

CVE-2024-23211: Mark Bowers

Shortcuts

Saatavuus: iPhone XS ja sitä uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja sitä uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja sitä uudemmat), iPad Air (3. sukupolvi ja sitä uudemmat), iPad (6. sukupolvi ja sitä uudemmat) ja iPad mini (5. sukupolvi ja sitä uudemmat)

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2024-23203: nimetön tutkija

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Saatavuus: iPhone XS ja sitä uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja sitä uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja sitä uudemmat), iPad Air (3. sukupolvi ja sitä uudemmat), iPad (6. sukupolvi ja sitä uudemmat) ja iPad mini (5. sukupolvi ja sitä uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.

Kuvaus: Tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Saatavuus: iPhone XS ja sitä uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja sitä uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja sitä uudemmat), iPad Air (3. sukupolvi ja sitä uudemmat), iPad (6. sukupolvi ja sitä uudemmat) ja iPad mini (5. sukupolvi ja sitä uudemmat)

Vaikutus: appi saattoi pystyä näkemään käyttäjän puhelinnumeron järjestelmälokeista.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2024-23210: Noah Roskin-Frazee ja Prof. J. (ZeroClicks.ai Lab)

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallinen verkkosivu saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2024-23206: nimetön tutkija

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23213: Wangtaiyu (Zhongfu info)

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23214: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute)

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23222

WebKit

Saatavuus: iPhone XS ja uudemmat, iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: Haitallinen sivusto saattoi aiheuttaa odottamatonta eri lähteiden välistä toimintaa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-23271: James Lee (@Windowsrcer)

Kiitokset

NetworkExtension

Haluamme kiittää avusta Nils Rollshausenia.