Informacije o sigurnosnom sadržaju sustava iOS 16.7.9 i iPadOS 16.7.9

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 16.7.9 i iPadOS 16.7.9.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 16.7.9 i iPadOS 16.7.9

CoreGraphics

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40799: D4m0n

CoreMedia

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obrada zlonamjerne videodatoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-27873: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)

ImageIO

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40806: Yisumi

ImageIO

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40784: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i korisnik Gandalf4a

Kernel

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40788: Minghao Lin i Jiaxun Zhu sa Sveučilišta Zhejiang

NetworkExtension

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: tijekom privatne sesije pregledavanja može doći do otkrivanja podataka o ranijim pregledima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-40796: Adam M.

Photos Storage

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2024-40778: Mateen Alinaghi

Security

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacija može čitati podatke o ranijim pregledavanjima putem Safarija

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-40798: Adam M.

Shortcuts

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40833: anonimni istraživač

CVE-2024-40835: anonimni istraživač

CVE-2024-40836: anonimni istraživač

Shortcuts

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40809: anonimni istraživač

CVE-2024-40812: anonimni istraživač

Siri

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40818: Bistrit Dahal i Srijan Poudel

Siri

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: napadač bi mogao pregledavati osjetljive korisničke podatke

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-40786: Bistrit Dahal

Siri

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: napadač s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40822: Srijan Poudel

Siri

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: aplikacija pokrenuta u sigurnom okruženju mogla bi pristupiti osjetljivim korisničkim podacima u zapisima sustava

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-44205: Jiahui Hu (梅零落) i Meng Zhang (鲸落) (NorthSea)

VoiceOver

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: napadač bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

WebKit

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40789: Seunghyun Lee (@0x10n) (KAIST Hacking Lab) u suradnji s projektom Zero Day Initiative (Trend Micro)

WebKit

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)

Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

Dodatna zahvala

Prečaci

Na pomoći zahvaljujemo anonimnom istraživaču.