Informacije o sigurnosnom sadržaju sustava iOS 16.7.6 i iPadOS 16.7.6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 16.7.6 i iPadOS 16.7.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Sustavi iOS 16.7.6 i iPadOS 16.7.6

Accessibility

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacija bi mogla lažirati obavijesti sustava i korisničko sučelje

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2024-23262: Guilherme Rambo (Best Buddy Apps, rambo.codes)

CoreCrypto

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: napadač bi mogao dešifrirati stare šifrirane tekstove RSA PKCS#1 v1.5, a da za to ne mora imati privatni ključ

Opis: problem s vremenskim odrednicama sporednog kanala riješen je uvođenjem poboljšanja u konstantnom izračunavanju vremena za kriptografske funkcije.

CVE-2024-23218: Clemens Lang

ImageIO

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2024-23286: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro), Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun) te Lyutoon i Mr.R

ImageIO

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23257: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro)

Kernel

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23225

Kernel

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-23235

Kernel

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2024-23265: Xinru Chi (Pangu Lab)

libxpc

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23278: anonimni istraživač

MediaRemote

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-28826: Meng Zhang (鲸落) iz tvrtke NorthSea

Metal

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative (Trend Micro)

Notes

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23283

Safari

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23259: Lyra Rebane (rebane2001)

Share Sheet

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23231: Kirin (@Pwnrin) i luckyu (@uuulucky)

Shortcuts

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

CVE-2024-23203: anonimni istraživač

Siri

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje privatnih informacija o kalendaru

Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23289: Lewis Hardy

UIKit

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik

WebKit

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23284: Georg Felber i Marco Squarcina

WebKit

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2024-23263: Johan Carlsson (joaxcar)