Az iPadOS 17.7.3 biztonsági változásjegyzéke

Ez a dokumentum az iPadOS 17.7.3 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iPadOS 17.7.3

FontParser

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54486: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

ImageIO

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54500: Junsung Lee, a Trend Micro Zero Day Initiative közreműködőjeként

Kernel

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A támadók bizonyos esetekben létre tudtak hozni leképezéseket, amelyek lehetővé tették az írásvédett memóriák módosítását

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-54494: sohybbyk

Kernel

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-54510: Joseph Ravichandran (@0xjprx), MIT CSAIL

Kernel

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44245: anonim kutató

libarchive

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadáshoz vezethet

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44201: Ben Roeder

libexpat

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges kódot tudtak futtatni.

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-45490

libxpc

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben módosítani tudták a hálózati forgalmat.

Leírás: Az információk hálózati továbbítása során HTTPS használatával megoldottuk a problémát.

CVE-2024-54492: Talal Haj Bakry és Tommy Mysk, Mysk Inc. (@mysk_co)

Safari

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Ha olyan eszközön adtak hozzá egy webhelyet a Safari olvasási listájához, amelyen a Privát átjátszó engedélyezve van, a webhely hozzáférhetett az eredeti IP-címhez

Leírás: A Safariról eredeztethető kérések hatékonyabb útvonalkezelésével orvosoltuk a problémát.

CVE-2024-44246: Jacob Braun

SceneKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54501: Michael DePlante (@izobashi), Trend Micro's Zero Day Initiative

VoiceOver

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az iPadOS-készülékhez fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről meg tudták tekinteni az értesítések tartalmát.

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia), C-DAC Thiruvananthapuram India

WebKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54479: Seunghyun Lee

WebKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása a memória sérüléséhez vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2024-54505: Gary Kwong

További köszönetnyilvánítás

Proximity

Köszönjük Junming C. (@Chapoly1305) és prof. Qiang Zeng (George Mason University) segítségét.