Informacije o sigurnosnom sadržaju sustava iOS 17.4 i iPadOS 17.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 17.4 i iPadOS 17.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 17.4 i iPadOS 17.4

Objavljeno 5. ožujka 2024.

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23243: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost u Rumunjskoj)

Accessibility

Učinak: aplikacija bi mogla lažirati obavijesti sustava i korisničko sučelje

Opis: taj je problem riješen poboljšanim provjerama ovlaštenja.

CVE-2024-23262: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Unos je dodan 7. ožujka 2024.

Accessibility

Učinak: zlonamjerna aplikacija mogla bi imati uvid u korisničke podatke u unosima zapisnika koji se odnose na obavijesti o pristupačnosti

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23291

Unos je dodan 7. ožujka 2024.

AppleMobileFileIntegrity

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23288: Wojciech Regula (SecuRing (wojciechregula.blog)) i Kirin (@Pwnrin)

Unos je dodan 7. ožujka 2024.

Bluetooth

Učinak: napadač s administratorskim mrežnim ovlastima može imitirati pritiskanje tipki i unositi znakove lažiranjem tipkovnice

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23277: Marc Newlin (SkySafe)

Unos je dodan 7. ožujka 2024.

CoreBluetooth - LE

Učinak: aplikacija bi mogla pristupiti mikrofonima povezanim Bluetoothom bez dopuštenja korisnika

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Unos je dodan 7. ožujka 2024.

ExtensionKit

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23205

Unos je dodan 7. ožujka 2024.

file

Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-48554

Unos je dodan 7. ožujka 2024.

Image Processing

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23270: anonimni istraživač

Unos je dodan 7. ožujka 2024.

ImageIO

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2024-23286: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro), Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun) te Lyutoon i Mr.R

Unos je dodan 7. ožujka 2024., a ažuriran 29. svibnja 2024.

Kernel

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23225

Kernel

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-23235

Unos je dodan 7. ožujka 2024.

Kernel

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Unos je dodan 7. ožujka 2024.

libxpc

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23278: anonimni istraživač

Unos je dodan 7. ožujka 2024.

libxpc

Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-0258: ali yabuz

Unos je dodan 7. ožujka 2024.

MediaRemote

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23297: scj643

Unos je dodan 7. ožujka 2024.

Messages

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.

CVE-2024-23287: Kirin (@Pwnrin)

Unos je dodan 7. ožujka 2024.

Metal

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s projektom Zero Day Initiative (Trend Micro)

Unos je dodan 7. ožujka 2024.

Photos

Učinak: opcija Poništavanje tresenjem može omogućiti ponovno pojavljivanje izbrisane fotografije bez provjere autentičnosti

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23240: Harsh Tyagi

Unos je dodan 7. ožujka 2024.

Photos

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23255: Harsh Tyagi

Unos je dodan 7. ožujka 2024.

RTKit

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23296

Safari

Učinak: aplikacija bi mogla prepoznati otisak prsta korisnika

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2024-23220

Unos je dodan 7. ožujka 2024.

Safari

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23259: Lyra Rebane (rebane2001)

Unos je dodan 7. ožujka 2024.

Safari Private Browsing

Učinak: korisnikove zaključane kartice mogu biti nakratko vidljive tijekom mijenjanja grupa kartica kada je omogućeno zaključano privatno pregledavanje

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23256: Om Kothawade

Safari Private Browsing

Učinak: karticama Privatno pretraživanje može se pristupati bez provjere identiteta

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-23273: Matej Rabzelj

Unos je dodan 7. ožujka 2024.

Sandbox

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23239: Mickey Jin (@patch1t)

Unos je dodan 7. ožujka 2024.

Sandbox

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2024-23290: Wojciech Reguła (SecuRing) (wojciechregula.blog)

Unos je dodan 7. ožujka 2024.

Share Sheet

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23231: Kirin (@Pwnrin) i luckyu (@uuulucky)

Unos je dodan 7. ožujka 2024.

Shortcuts

Učinak: aplikacija bi mogla pristupiti informacijama o kontaktima korisnika

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-23292: K宝 i LFY@secsys (sveučilište Fudan)

Unos je dodan 7. ožujka 2024.

Siri

Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje privatnih informacija o kalendaru

Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23289: Lewis Hardy

Unos je dodan 7. ožujka 2024.

Siri

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-23293: Bistrit Dahal

Unos je dodan 7. ožujka 2024.

Spotlight

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-23241

Unos je dodan 7. ožujka 2024.

Synapse

Učinak: određena aplikacija mogla bi prikazati podatke iz aplikacije Mail

Opis: problem s privatnošću riješen je nezapisivanjem sadržaja tekstualnih polja.

CVE-2024-23242

Unos je dodan 7. ožujka 2024.

UIKit

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik

Unos je dodan 7. ožujka 2024.

WebKit

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 263758

CVE-2024-54658: anbu1024 (SecANT)

Unos dodan 05. veljače 2025.

WebKit

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit Bugzilla: 263001

CVE-2024-27859: Pwn2car

Unos je dodan 7. ožujka 2024., a ažuriran 05. veljače 2025.

WebKit

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

Unos je dodan 7. ožujka 2024.

WebKit

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

Unos je dodan 7. ožujka 2024.

WebKit

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti.

WebKit Bugzilla: 266703

CVE-2024-23280: anonimni istraživač

Unos je dodan 7. ožujka 2024.

WebKit

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber i Marco Squarcina

Unos je dodan 7. ožujka 2024.

Dodatna zahvala

AirDrop

Na pomoći zahvaljujemo Baibhavu Anandu Jhau (ReconWithMe) i Cristianu Dincu (Nacionalna srednja škola za računalnu znanosti Tudor Vianu, Rumunjska).

CoreAnimation

Na pomoći zahvaljujemo Junsungu Leeju.

Unos je dodan 7. ožujka 2024.

CoreMotion

Na pomoći zahvaljujemo Ericu Dorphyju (Twin Cities App Dev LLC).

Unos je dodan 7. ožujka 2024.

Find My

Na pomoći zahvaljujemo Meng Zhangu (鲸落) (NorthSea).

Unos je dodan 7. ožujka 2024.

ICU

Na pomoći zahvaljujemo Andr.Essu i anonimnom istraživaču.

Unos dodan 05. veljače 2025.

Kernel

Na pomoći zahvaljujemoTareku Joumaau (@tjkr0wn) i korisniku 이준성(Junsung Lee).

Unos je dodan 7. ožujka 2024.

libxml2

Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.

Unos je dodan 7. ožujka 2024.

libxpc

Na pomoći zahvaljujemo Rasmusu Stenu iz tvrtke F-Secure (Mastodon: @pajp@blog.dll.nu) i anonimnom istraživaču.

Unos je dodan 7. ožujka 2024.

Mail Conversation View

Na pomoći zahvaljujemo anonimnom istraživaču.

Messages

Na pomoći zahvaljujemo Petru Mataiću.

Unos dodan 05. veljače 2025.

NetworkExtension

Na pomoći zahvaljujemo Mathyju Vanhoefu (sveučilište KU Leuven).

Photos

Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.

Unos je dodan 7. ožujka 2024.

Power Management

Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd.

Unos je dodan 7. ožujka 2024.

Safari

Na pomoći zahvaljujemo Abhinavu Saraswatu i Matthewu C.

Unos je dodan 7. ožujka 2024.

Sandbox

Na pomoći zahvaljujemo Zhongquanu Liju (@Guluisacat).

Unos je dodan 7. ožujka 2024.

Settings

Na pomoći zahvaljujemo Christianu Scaleseu, Loganu Ramgoonu, Lucasu Monteiru, Danielu Monteiru, Felipeu Monteiru i Peteru Wattheyju.

Shortcuts

Na pomoći zahvaljujemo Yusufu Kelanyju.

Unos je dodan 29. srpnja 2024.

Siri

Na pomoći zahvaljujemo Bistritu Dahalu.

Unos je dodan 7. ožujka 2024.

Software Update

Na pomoći zahvaljujemo Binu Zhangu (Dublin City University).

Unos je dodan 7. ožujka 2024.

WebKit

Na pomoći zahvaljujemo Nanu Wangu (@eternalsakura13) s instituta 360 Vulnerability Research Institute te Valentinu Dalla Valleu, Pedru Bernardu, Marcu Squarcini i Lorenzu Veroneseu (TU Wien).

Unos je dodan 7. ožujka 2024.

WebRTC

Željeli bismo zahvaliti Narendri Bhati iz tvrtke Suma Soft Pvt. Ltd, Pune (Indija) – twitter.com/imnarendrabhati na pomoći.

Unos dodan 05. veljače 2025.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 13. veljače 2025.