À propos des correctifs de sécurité d’iPadOS 17.7.3

Ce document décrit les correctifs de sécurité d’iPadOS 17.7.3.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les versions récentes sont énumérées à la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

iPadOS 17.7.3

FontParser

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’une police malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-54486 : Hossein Lotfi (@hosselot) du programme Zero Day Initiative de Trend Micro

ImageIO

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’une image malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : ce problème a été résolu par de meilleures vérifications.

CVE-2024-54500 : Junsung Lee travaillant avec le programme Zero Day Initiative de Trend Micro

Kernel

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant peut être en mesure de créer un mappage mémoire en lecture seule qui peut être modifié

Description : un problème de concurrence a été résolu par une validation supplémentaire.

CVE-2024-54494 : sohybbyk

Kernel

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure de divulguer des données sensibles relativement à l’état du noyau.

Description : un problème de concurrence a été résolu par un meilleur verrouillage.

CVE-2024-54510 : Joseph Ravichandran (@0xjprx) du MIT CSAIL

Kernel

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure d’entraîner l’arrêt inopiné du système ou de corrompre la mémoire du noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-44245 : un chercheur anonyme

libarchive

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un fichier malveillant peut entraîner un déni de service

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-44201 : Ben Roeder

libexpat

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une app ou l’exécution arbitraire de code.

Description : il s’agit d’une vulnérabilité dans un code source ouvert et le logiciel Apple figure parmi les projets concernés. L’identifiant CVE-ID a été attribué par un tiers. Apprenez-en davantage sur le problème et la référence CVE sur le site cve.org.

CVE-2024-45490

libxpc

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : une app peut être en mesure d’accéder à des privilèges élevés.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2024-44225 : 风沐云烟 (@binary_fmyy)

Passwords

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut perturber le trafic du réseau.

Description : ce problème a été résolu à l’aide de HTTPS lors de l’envoi d’information par l’entremise du réseau.

CVE-2024-54492 : Talal Haj Bakry et Tommy Mysk de Mysk Inc. (@mysk_co)

Safari

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : sur un appareil avec le relais privé activé, l’ajout d’un site web à la liste de lecture de Safari risque de révéler l’adresse IP d’origine au site web

Description : le problème a été résolu grâce à un meilleur acheminement des requêtes émanant de Safari

CVE-2024-44246 : Jacob Braun

SceneKit

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un fichier malveillant peut conduire à un déni de service.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-54501 : Michael DePlante (@izobashi) du programme Zero Day Initiative de Trend Micro

VoiceOver

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : un attaquant disposant d’un accès physique à un appareil sous iPadOS sera peut-être en mesure d’accéder au contenu des notifications à partir de l’écran de verrouillage.

Description : le problème a été résolu par l’ajout d'une logique supplémentaire.

CVE-2024-54485 : Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram en Inde

WebKit

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné du processus.

Description : ce problème a été résolu par l’application de meilleures vérifications.

CVE-2024-54479 : Seunghyun Lee

WebKit

Disponible pour : iPad Pro 12,9 po 2e génération, iPad Pro 10,5 po et iPad 6e génération

Conséquence : le traitement d’un contenu web malveillant risque d’entraîner une corruption de la mémoire

Description : un problème de confusion liée aux types a été résolu par une meilleure gestion de la mémoire.

CVE-2024-54505 : Gary Kwong

Remerciements supplémentaires

Proximity

Nous tenons à remercier Junming C. (@Chapoly1305) et le professeur Qiang Zeng de l’Université George Mason pour leur aide.