Az iPadOS 17.7.3 biztonsági változásjegyzéke
Ez a dokumentum az iPadOS 17.7.3 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iPadOS 17.7.3
Kiadási dátum: 2024. december 11.
Accounts
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban.
Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.
CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) és taikosoup
Bejegyzés hozzáadva: 2025. január 27.
FontParser
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54486: Hossein Lotfi (@hosselot,Trend Micro Zero Day Initiative)
ImageIO
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54500: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)
Kernel
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54468: anonim kutató
Bejegyzés hozzáadva: 2025. január 27.
Kernel
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: A támadók bizonyos esetekben olyan csak olvasható memórialeképezést tudtak létrehozni, amelybe lehetett írni.
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-54494: sohybbyk
Kernel
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)
Kernel
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44245: anonim kutató
libarchive
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadáshoz vezethet.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44201: Ben Roeder
libexpat
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: A távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges kódot tudtak futtatni.
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-45490
libxpc
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-44225: 风沐云烟 (@binary_fmyy)
Passwords
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben módosítani tudták a hálózati forgalmat.
Leírás: Az információk hálózati továbbítása során HTTPS használatával megoldottuk a problémát.
CVE-2024-54492: Talal Haj Bakry és Tommy Mysk (Mysk Inc., @mysk_co)
Safari
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Ha a készüléken engedélyezve volt a Privát átjátszó, és hozzáadtak egy webhelyet a Safari olvasási listájához, előfordult, hogy a rendszer felfedte a webhelynek a forrás IP-címét.
Leírás: A Safari által biztosított kérelmek útválasztásának javításával megoldottuk a problémát.
CVE-2024-44246: Jacob Braun
SceneKit
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54501: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
VoiceOver
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az iPadOS-készülékhez fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről meg tudták tekinteni az értesítések tartalmát.
Leírás: További logika hozzáadásával megoldottuk a problémát.
CVE-2024-54485: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India)
WebKit
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
További köszönetnyilvánítás
Proximity
Köszönjük Junming C. (@Chapoly1305) és Prof. Qiang Zeng (George Mason University) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.