Tietoja iPadOS 17.7.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iPadOS 17.7.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

iPadOS 17.7.3

FontParser

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54486: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

ImageIO

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54500: Junsung Lee yhteistyössä Trend Micro Zero Day Initiativen kanssa

Kernel

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: hyökkääjä saattoi pystyä luomaan kirjoitussuojatun muistikuvauksen, johon voidaan kirjoittaa.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-54494: sohybbyk

Kernel

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kernel

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44245: nimetön tutkija

libarchive

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44201: Ben Roeder

libexpat

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä osoitteesta cve.org.

CVE-2024-45490

libxpc

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44225: 风沐云烟 (@binary_fmyy)

Passwords

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan verkkoliikennettä.

Kuvaus: ongelma on ratkaistu käyttämällä tiedonsiirtoon verkossa HTTPS-protokollaa.

CVE-2024-54492: Talal Haj Bakry ja Tommy Mysk (Mysk Inc., @mysk_co)

Safari

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: laitteessa, jossa oli käytössä suojattu lähetys, verkkosivuston lisääminen Safarin lukulistaan saattoi paljastaa alkuperäisen IP-osoitteen verkkosivustolle.

Kuvaus: ongelma on ratkaistu parantamalla Safari-lähtöisten pyyntöjen reititystä.

CVE-2024-44246: Jacob Braun

SceneKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54501: Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)

VoiceOver

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy iPadOS-laitteeseen, saattoi pystyä tarkastelemaan ilmoitusten sisältöä lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, Intia)

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54479: Seunghyun Lee

WebKit

Saatavuus: iPad Pro (12,9 tuumaa, 2. sukupolvi), iPad Pro (10,5 tuumaa) ja iPad (6. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54505: Gary Kwong

Kiitokset

Proximity

Haluamme kiittää avusta Junming C.:tä (@Chapoly1305) ja professori Qiang Zengiä (George Mason University).