À propos des correctifs de sécurité d’iOS 17.7 et d’iPadOS 17.7

Ce document décrit les correctifs de sécurité d’iOS 17.7 et d’iPadOS 17.7.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iOS 17.7 et iPadOS 17.7

Publié le 16 septembre 2024

Accessibility

Disponible pour : iPhone XS et modèles ultérieurs, iPad Pro 13 po, iPad Pro 12,9 po (2e génération et modèles ultérieurs), iPad Pro 10,5 po, iPad Pro 11 po (1re génération et modèles ultérieurs), iPad Air (3e génération et modèles ultérieurs), iPad (6e génération et modèles ultérieurs) et iPad mini (5e génération et modèles ultérieurs)

Conséquence : un attaquant ayant l’accès physique à un appareil verrouillé pourrait utiliser Contrôler les appareils à proximité en passant par les fonctionnalités d’accessibilité.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44171 : Jake Derouin

ARKit

Conséquence : le traitement d’un fichier malveillant peut entraîner une corruption de tas.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44126 : Holger Fuhrmannek

Entrée ajoutée le 28 octobre 2024

Compression

Conséquence : la décompression d’une archive malveillante peut permettre à un attaquant d’écrire des fichiers arbitraires.

Description : un problème de concurrence a été résolu par un meilleur verrouillage.

CVE-2024-27876 : Snoolie Keffaber (@0xilis)

Game Center

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’accès aux fichiers a été résolu par une meilleure validation des entrées.

CVE-2024-40850 : Denis Tokarev (@illusionofcha0s)

ImageIO

Conséquence : le traitement d’un fichier malveillant peut entraîner la fermeture inopinée d’une app.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2024-27880 : Junsung Lee

ImageIO

Conséquence : le traitement d’une image peut entraîner un déni de service.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2024-44176 : dw0r de ZeroPointer Lab travaillant avec Trend Micro Zero Day Initiative, un chercheur anonyme.

IOSurfaceAccelerator

Conséquence : une app peut être en mesure d’entraîner l’arrêt inattendu du système.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-44169 : Antonio Zekić

Kernel

Conséquence : le trafic réseau peut fuir à l’extérieur du tunnel VPN.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2024-44165 : Andrew Lytvynov

Kernel

Conséquence : une app peut obtenir un accès non autorisé à Bluetooth.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44191 : Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) et Mathy Vanhoef

Mail Accounts

Conséquence : une app peut être en mesure d’accéder aux données des contacts de l’utilisateur.

Description : un problème de confidentialité a été résolu grâce à l’amélioration de la définition des données personnelles pour la saisie.

CVE-2024-40791 : Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Conséquence : une app peut être à l’origine d’un déni de service.

Description : une erreur de logique a été résolu par une gestion améliorée des erreurs.

CVE-2024-44183 : Olivier Levon

Safari Private Browsing

Conséquence : les onglets de navigation privée pourraient être accessibles sans authentification.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44127 : Anamika Adhikari

Shortcuts

Conséquence : un raccourci peut générer des données utilisateur sensibles sans consentement.

Description : ce problème a été résolu par une amélioration de la rédaction des renseignements confidentiels.

CVE-2024-44158 : Kirin (@Pwnrin)

Shortcuts

Conséquence : une app peut être en mesure d’observer les données affichées à l’utilisateur par Raccourcis

Description : un problème de confidentialité a été résolu par une meilleure gestion des fichiers temporaires.

CVE-2024-40844 : Kirin (@Pwnrin) et luckyu (@uuulucky) de NorthSea

Sync Services

Conséquence : une app peut être en mesure de contourner les préférences en matière de confidentialité.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-44164 : Mickey Jin (@patch1t)

Transparency

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-44184 : Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Conséquence : un attaquant pourrait être en mesure de provoquer la fermeture inopinée d’une app.

Description : ce problème a été résolu par une meilleure vérification des limites.

CVE-2024-27879 : Justin Cohen

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: novembre 01, 2024