Az iOS 17.7 és az iPadOS 17.7 biztonsági változásjegyzéke

Ez a dokumentum az iOS 17.7 és az iPadOS 17.7 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 17.7 és iPadOS 17.7

Kiadási dátum: 2024. szeptember 16.

Accessibility

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egy zárolt iOS-készülékhez fizikailag hozzáférő támadó vezérelni tudta a közeli eszközöket a kisegítő lehetőségek segítségével.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44171: Jake Derouin

ARKit

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44126: Holger Fuhrmannek

Bejegyzés hozzáadva: 2024. október 28.

Compression

Érintett terület: Az ártó szándékkal létrehozott archívumok kicsomagolása tetszőleges fájlok írását tehette lehetővé támadók számára.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-27880: Junsung Lee

ImageIO

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2024-44176: dw0r (ZeroPointer Lab) a Trend Micro Zero Day Initiative kezdeményezés keretében, valamint egy anonim kutató

IOSurfaceAccelerator

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44169: Antonio Zekić

Kernel

Érintett terület: Bizonyos esetekben a hálózati forgalom kiszivároghatott a VPN-alagúton kívülre.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44165: Andrew Lytvynov

Kernel

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetoothhoz.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) és Mathy Vanhoef

Mail Accounts

Érintett terület: Egyes alkalmazások hozzá tudtak férni a felhasználó kontaktjaival kapcsolatos információkhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44183: Olivier Levon

Safari Private Browsing

Érintett terület: A privát böngészés lapjai hitelesítés nélkül is elérhetők.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44127: Anamika Adhikari

Shortcuts

Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Érintett terület: Egy alkalmazás bizonyos esetekben meg tudta figyelni a felhasználó számára a Parancsok által megjelenített adatokat.

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-40844: Kirin (@Pwnrin) és luckyu (@uuulucky, NorthSea)

Sync Services

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44164: Mickey Jin (@patch1t)

Transparency

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-27879: Justin Cohen

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2024. november 01.