À propos des correctifs de sécurité d’iOS 17.7 et d’iPadOS 17.7

Ce document décrit les correctifs de sécurité d’iOS 17.7 et d’iPadOS 17.7.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

IOS 17.7 et iPadOS 17.7

Publié le 16 septembre 2024

Accessibility

Disponible pour : iPhone XS et modèles ultérieurs, iPad Pro 13 pouces, iPad Pro 12,9 pouces (2e génération) et modèles ultérieurs, iPad Pro 10,5 pouces, iPad Pro 11 pouces (1re génération) et modèles ultérieurs, iPad Air (3e génération) et modèles ultérieurs, iPad (6e génération) et modèles ultérieurs, iPad mini (5e génération) et modèles ultérieurs

Conséquence : un attaquant bénéficiant d’un accès physique à un appareil verrouillé pourrait être en mesure de contrôler les appareils à proximité via des fonctionnalités d’accessibilité

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44171 : Jake Derouin

ARKit

Conséquence : le traitement d’un fichier malveillant peut entraîner une corruption de tas.

Description : le problème a été résolu par de meilleures vérifications.

CVE-2024-44126 : Holger Fuhrmannek

Entrée ajoutée le 28 octobre 2024

Compression

Conséquence : la décompression d’une archive malveillante peut permettre à un attaquant d’écrire des fichiers arbitraires.

Description : un problème de concurrence a été résolu par un meilleur verrouillage.

CVE-2024-27876 : Snoolie Keffaber (@0xilis)

Game Center

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur.

Description : un problème d’accès aux fichiers a été résolu par une meilleure validation des entrées.

CVE-2024-40850 : Denis Tokarev (@illusionofcha0s)

ImageIO

Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2024-27880 : Junsung Lee

ImageIO

Conséquence : le traitement d’une image peut entraîner un déni de service.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2024-44176 : dw0r de ZeroPointer Lab en collaboration avec le programme Zero Day Initiative de Trend Micro, un chercheur anonyme

IOSurfaceAccelerator

Conséquence : une app peut être en mesure de provoquer l’arrêt inopiné du système

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-44169 : Antonio Zekić

Kernel

Conséquence : le trafic réseau pourrait faire l’objet d’une fuite en dehors d’un tunnel de VPN

Description : un problème de logique a été résolu par la réalisation de meilleures vérifications.

CVE-2024-44165 : Andrew Lytvynov

Kernel

Conséquence : une application est susceptible d’obtenir un accès non autorisé au Bluetooth.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44191 : Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) et Mathy Vanhoef

Mail Accounts

Conséquence : une app pourrait accéder aux informations sur les contacts d’un utilisateur.

Description : un problème de confidentialité a été résolu par l’amélioration du masquage des données privées pour les entrées de journal.

CVE-2024-40791 : Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Conséquence : une app pourrait être en mesure de provoquer un déni de service.

Description : une erreur de logique a été résolue par une meilleure gestion des erreurs.

CVE-2024-44183 : Olivier Levon

Safari Private Browsing

Conséquence : les onglets de navigation privée pourraient être consultés sans authentification.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44127 : Anamika Adhikari

Shortcuts

Conséquence : un raccourci peut transmettre des données utilisateur sensibles sans consentement.

Description : ce problème a été résolu par l’amélioration de la rédaction des informations sensibles.

CVE-2024-44158 : Kirin (@Pwnrin)

Shortcuts

Conséquence : une app pourrait examiner des données présentées à l’utilisateur via Raccourcis

Description : un problème de confidentialité a été résolu par une meilleure gestion des fichiers temporaires.

CVE-2024-40844 : Kirin (@Pwnrin) et luckyu (@uuulucky) de NorthSea

Sync Services

Conséquence : une app pourrait contourner les préférences de confidentialité.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2024-44164 : Mickey Jin (@patch1t)

Transparency

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur.

Description : un problème d’autorisations a été résolu par des restrictions supplémentaires.

CVE-2024-44184 : Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Conséquence : un attaquant pourrait provoquer la fermeture inopinée d’apps

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2024-27879 : Justin Cohen

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: novembre 01, 2024