Over de beveiligingsinhoud van iOS 17.1.1 en iPadOS 17.7.1
Dit document beschrijft de beveiligingsinhoud van iOS 17.7.1 en iPadOS 17.7.1.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
Over de beveiligingsinhoud van iOS 17.1.1 en iPadOS 17.7.1
Releasedatum: 28 oktober 2024
Accessibility
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen
Beschrijving: het probleem is verholpen door verbeterde authenticatie.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
AppleAVD
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2024-44232: Ivan Fratric van Google Project Zero
CVE-2024-44233: Ivan Fratric van Google Project Zero
CVE-2024-44234: Ivan Fratric van Google Project Zero
Toegevoegd op 1 november 2024
CoreText
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-44240: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
Foundation
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2024-44282: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
ImageIO
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2024-44215: Junsung Lee in samenwerking met Trend Micro Zero Day Initiative
ImageIO
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bericht kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2024-44297: Jex Amro
Kernel
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app kan gevoelige kernelstatus vrijgeven
Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden
Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het terugzetten van een kwaadwillig vervaardigd back-upbestand kan leiden tot wijzigingen in beveiligde systeembestanden
Beschrijving: een logicaprobleem is verholpen door verbeterd bestandsbeheer.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Safari
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: kwaadwillig vervaardigd webmateriaal kan het iframe sandbox-beleid schenden
Beschrijving: een probleem met de verwerking van een aangepast URL-schema is verholpen door verbeterde invoervalidatie.
CVE-2024-44155: Narendra Bhati, Manager of Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
Safari Downloads
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller kan mogelijk misbruik maken van een vertrouwensrelatie om kwaadaardig materiaal te downloaden
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44259: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
SceneKit
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van apps
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2024-44144: 냥냥
SceneKit
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2024-44218: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative
Shortcuts
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een kwaadwillige app kan mogelijk toegang krijgen tot vertrouwelijke bestanden
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-44269: een anonieme onderzoeker
Siri
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een app heeft mogelijk toegang tot vertrouwelijke gebruikersgegevens in systeemlogboeken
Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2024-44278: Kirin (@Pwnrin)
VoiceOver
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: een aanvaller kan mogelijk beperkte inhoud bekijken via het vergrendelingsscherm
Beschrijving: dit probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.
CVE-2024-44261: Braylon (@softwarescool)
WebKit
Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
Aanvullende erkenning
Security
Met dank aan Bing Shi, Wenchao Li and Xiaolong Bai of Alibaba Group voor de hulp.
Spotlight
Met dank aan Paulo Henrique Batista Rosa de Castro (@paulohbrc) voor de hulp.
WebKit
Met dank aan Eli Grey (eligrey.com) voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.