Informacije o sigurnosnom sadržaju sustava iOS 17.7.1 i iPadOS 17.7.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 17.7.1 i iPadOS 17.7.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Informacije o sigurnosnom sadržaju sustava iOS 17.7.1 i iPadOS 17.7.1

Izdano 28. listopada 2024.

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 13-inčni, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

Unos je dodan 1. studenog 2024.

CoreText

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44240: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2024-44302: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Foundation

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44282: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ImageIO

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-44215: Junsung Lee i inicijativa Zero Day (Trend Micro)

ImageIO

Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44297: Jex Amro

Kernel

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Učinak: obnova zlonamjerno izrađene datoteke sa sigurnosnom kopijom može dovesti do izmjena zaštićenih sistemskih datoteka

Opis: problem s logikom riješen je poboljšanim rukovanjem datotekama.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

Učinak: zlonamjerni web-sadržaj može kršiti pravila testiranja za iframe

Opis: problem rukovanja prilagođenom URL shemom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44155: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Safari Downloads

Učinak: napadač bi mogao zloupotrijebiti pouzdani odnos za preuzimanje zlonamjernog sadržaja

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-44259: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

SceneKit

Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2024-44144: 냥냥

SceneKit

Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44218: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)

Shortcuts

Učinak: zlonamjerna aplikacija može upotrebljavati prečace za pristup ograničenim datotekama

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44269: anonimni istraživač

Siri

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti osjetljivim korisničkim podacima u zapisnicima sustava

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

Učinak: napadač bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

Dodatna zahvala

Security

Na pomoći zahvaljujemo Bingu Shiju, Wenchaou Liju i Xiaolongu Baiju (Alibaba Group).

Spotlight

Na pomoći zahvaljujemo Paulu Henriku Batisti Rosi de Castro (@paulohbrc).

WebKit

Na pomoći zahvaljujemo Eliu Greyu (eligrey.com).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 13. studenoga 2024.