Informacije o sigurnosnom sadržaju sustava iPadOS 17.7.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iPadOS 17.7.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iPadOS 17.7.3

FontParser

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54486: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ImageIO

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54500: Junsung Lee i inicijativa Zero Day (Trend Micro)

Kernel

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: napadači su mogli stvoriti mapiranje memorije samo za čitanje u koju se moglo zapisivati

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-54494: sohybbyk

Kernel

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

Kernel

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44245: anonimni istraživač

libarchive

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: obradom zlonamjerne datoteke moglo je doći do odbijanja usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-44201: Ben Roeder

libexpat

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2024-45490

libxpc

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: napadač s privilegiranim mrežnim ovlastima mogao bi presresti mrežni promet

Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.

CVE-2024-54492: Talal Haj Bakry i Tommy Mysk (Mysk Inc.) (@mysk_co)

Safari

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: na uređajima s omogućenim privatnim relejem dodavanjem web-mjesta na popis za čitanje u pregledniku Safari mogla se otkriti izvorna IP adresa web-mjesta

Opis: problem je riješen poboljšanim usmjeravanjem zahtjeva koji dolaze iz Safarija.

CVE-2024-44246: Jacob Braun

SceneKit

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: obradom zlonamjerne datoteke moglo se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54501: Michael DePlante (@izobashi), projekt Zero Day Initiative (Trend Micro)

VoiceOver

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: napadač s fizičkim pristupom iPadOS uređaju mogao je sa zaključanog zaslona pristupiti sadržaju bilješki

Opis: problem je riješen dodavanje dodatne logike.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) (C-DAC Thiruvananthapuram India)

WebKit

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-54479: Seunghyun Lee

WebKit

Dostupno za: 12,9-inčni iPad Pro druge generacije, 10,5-inčni iPad Pro te iPad šeste generacije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do oštećenja memorije

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-54505: Gary Kwong

Dodatna zahvala

Proximity

Na pomoći zahvaljujemo Junmingu C. (@Chapoly1305) i prof. Qiang Zengu (George Mason University).