Tietoja iOS 17.7.1:n ja iPadOS 17.7.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 17.7.1:n ja iPadOS 17.7.1:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
Tietoja iOS 17.7.1:n ja iPadOS 17.7.1:n turvallisuussisällöstä
Julkaistu 28.10.2024
Accessibility
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla todennusta.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
AppleAVD
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen videotiedoston jäsentäminen saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2024-44232: Ivan Fratric (Google Project Zero)
CVE-2024-44233: Ivan Fratric (Google Project Zero)
CVE-2024-44234: Ivan Fratric (Google Project Zero)
Kohta lisätty 1.11.2024
CoreText
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-44240: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CVE-2024-44302: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Foundation
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-44282: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
ImageIO
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2024-44215: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa
ImageIO
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2024-44297: Jex Amro
Kernel
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen varmuuskopiotiedoston palauttaminen saattoi johtaa suojattujen järjestelmätiedostojen muuttumiseen.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen varmuuskopiotiedoston palauttaminen saattoi johtaa suojattujen järjestelmätiedostojen muuttumiseen.
Kuvaus: logiikkaongelma on korjattu parantamalla tiedostojen käsittelyä.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Safari
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallinen verkkosisältö saattoi rikkoa iframe-eristyskäytännön.
Kuvaus: Mukautetun URL-mallin käsittelyongelma korjattiin parantamalla annettujen tietojen vahvistusta.
CVE-2024-44155: Narendra Bhati (kyberturvallisuuden johtaja, Suma Soft Pvt. Ltd, Pune, Intia)
Safari Downloads
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Hyökkääjä saattoi pystyä käyttämään väärin luottamussuhdetta haitallisen sisällön lataamista varten.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-44259: Narendra Bhati (kyberturvallisuusjohtaja, Suma Soft Pvt. Ltd, Pune, Intia)
SceneKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.
CVE-2024-44144: 냥냥
SceneKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2024-44218: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Shortcuts
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallinen appi saattoi päästä rajoitettuihin tiedostoihin oikoteiden avulla.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-44269: nimetön tutkija
Siri
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: eristetty appi saattaa kyetä käyttämään arkaluontoisia käyttäjätietoja järjestelmälokeissa.
Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-44278: Kirin (@Pwnrin)
VoiceOver
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: hyökkääjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.
Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2024-44261: Braylon (@softwarescool)
WebKit
Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)
Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati (kyberturvallisuusjohtaja, Suma Soft Pvt. Ltd, Pune, Intia)
Kiitokset
Security
Haluamme kiittää Bing Shiä, Wenchao Liä ja Xiaolong Baita (Alibaba Group) heidän antamastaan avusta.
Spotlight
Haluamme kiittää Paulo Henrique Batista Rosa de Castroa (@paulohbrc) hänen antamastaan avusta.
WebKit
Haluamme kiittää Eli Greytä (eligrey.com) hänen antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.