Over de beveiligingsinhoud van iOS 17.5 en iPadOS 17.5

In dit document wordt de beveiligingsinhoud van iOS 17.5 en iPadOS 17.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

iOS 17.5 en iPadOS 17.5

Releasedatum: 13 mei 2024

Apple Neural Engine

Beschikbaar voor apparaten met Apple Neural Engine: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (3e generatie) en nieuwer, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (8e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een lokale aanvaller kan het systeem onverwacht uitschakelen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27826: Minghao Lin en Ye Zhang (@VAR10CK) van Baidu Security

Toegevoegd op 29 juli 2024

AppleAVD

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12,9-inch (2e generatie) en nieuwer, iPad Pro 10,5-inch, iPad Pro 11-inch (1e generatie) en nieuwer, iPad Air (3e generatie) en nieuwer, iPad (6e generatie) en nieuwer, en iPad mini (5e generatie) en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Bijgewerkt op 15 mei 2024

AppleMobileFileIntegrity

Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

Impact: een app kan mogelijk het kernelgeheugen vrijgeven

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27841: een anonieme onderzoeker

Core Data

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem is verholpen door verbeterde validatie van omgevingsvariabelen.

CVE-2024-27805: Kirin (@Pwnrin) en 小来来 (@Smi1eSEC)

Toegevoegd op 10 juni 2024

CoreMedia

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27817: pattern-f (@pattern_F_) van Ant Security Light-Year Lab

Toegevoegd op 10 juni 2024

CoreMedia

Impact: het verwerken van een bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2024-27831: Amir Bazine en Karsten König van CrowdStrike Counter Adversary Operations

Toegevoegd op 10 juni 2024

Disk Images

Impact: een app kan mogelijk bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27832: een anonieme onderzoeker

Toegevoegd op 10 juni 2024

Find My

Impact: een kwaadaardig programma kan mogelijk de huidige locatie van een gebruiker bepalen

Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens naar een veiligere locatie te verplaatsen.

CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze), en Shai Mishali (@freak4pc)

Foundation

Impact: een app kan mogelijk bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27801: CertiK SkyFall Team

Toegevoegd op 10 juni 2024

ImageIO

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27836: Junsung Lee in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 10 juni 2024

IOSurface

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.

Toegevoegd op 10 juni 2024

Kernel

Impact: een aanvaller kan onverwachte beëindiging van apps of het uitvoeren van willekeurige code veroorzaken

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27818: pattern-f (@pattern_F_) van Ant Security Light-Year Lab

Kernel

Impact: een aanvaller die al kernelcode kan uitvoeren, kan mogelijk ook beveiligingsmechanismen van het kernelgeheugen omzeilen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27840: een anonieme onderzoeker

Toegevoegd op 10 juni 2024

Kernel

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2024-27815: een anonieme onderzoeker en Joseph Ravichandran (@0xjprx) van MIT CSAIL

Toegevoegd op 10 juni 2024

Kernel

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkpakketten vervalsen

Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.

CVE-2024-27823: Prof. Benny Pinkas van Bar-Ilan University, Prof. Amit Klein van Hebrew University, en EP

Toegevoegd op 29 juli 2024

libiconv

Impact: een app kan mogelijk bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27811: Nick Wellnhofer

Toegevoegd op 10 juni 2024

Libsystem

Impact: een app kan toegang krijgen tot beschermde gebruikersgegevens

Beschrijving: een probleem met bevoegdheden is verholpen door de kwetsbare code te verwijderen en extra controles toe te voegen.

CVE-2023-42893: een anonieme onderzoeker

Mail

Impact: een aanvaller met fysieke toegang kan mogelijk inloggegevens van Mail-accounts lekken

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2024-23251: Gil Pedersen

Toegevoegd op 10 juni 2024

Mail

Impact: een kwaadwillig vervaardigd e-mailbericht kan mogelijk FaceTime-oproepen starten zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Toegevoegd op 10 juni 2024

Maps

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2024-27810: LFY@secsys van Fudan University

MarketplaceKit

Beschikbaar voor: iPhone XS en nieuwer

Impact: een kwaadwillig vervaardigde webpagina kan mogelijk een script verspreiden waarmee gebruikers op andere webpagina's worden gevolgd

Beschrijving: een privacyprobleem is verholpen door een verbeterde verwerking van client-ID's voor alternatieve appmarktplaatsen.

CVE-2024-27852: Talal Haj Bakry en Tommy Mysk van Mysk Inc. (@mysk_co)

Messages

Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot een denial-of-service

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2024-27800: Daniel Zajork en Joshua Zajork

Toegevoegd op 10 juni 2024

Metal

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 10 juni 2024

Metal

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2024-27857: Michael DePlante (@izobashi) van het Zero Day Initiative van Trend Micro

Toegevoegd op 10 juni 2024

Notes

Impact: een aanvaller met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot notities vanaf het toegangsscherm

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-27835: Andr.Ess

Notes

Impact: een app kan mogelijk toegang krijgen tot bijlagen van Notities

Beschrijving: een privacyprobleem is verholpen door verbeterde verwerking van tijdelijke bestanden.

CVE-2024-27845: Adam Berry

Toegevoegd op 10 juni 2024

RemoteViewServices

Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-27816: Mickey Jin (@patch1t)

Screenshots

Impact: een aanvaller met fysieke toegang kan mogelijk items delen vanaf het toegangsscherm

Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.

CVE-2024-27803: een anonieme onderzoeker

Shortcuts

Impact: een opdracht kan mogelijk zonder toestemming gevoelige gebruikersgegevens vrijgeven

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2024-27821: Kirin (@Pwnrin), zbleet, en Csaba Fitzl (@theevilbit) van Kandji

Shortcuts

Impact: een opdracht kan bij bepaalde acties gebruikmaken van gevoelige gegevens zonder dat de gebruiker om toestemming wordt gevraagd

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27855: een anonieme onderzoeker

Toegevoegd op 10 juni 2024

Siri

Impact: een aanvaller met fysieke toegang heeft mogelijk toegang tot contactpersonen vanaf het toegangsscherm

Het probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2024-27819: Srijan Poudel

Toegevoegd op 10 juni 2024

Spotlight

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde opschoning van de omgeving.

CVE-2024-27806

Toegevoegd op 10 juni 2024

StorageKit

Impact: een kwaadaardige app kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: dit probleem is verholpen door een verbeterde controle van bevoegdheden.

CVE-2024-27848: Csaba Fitzl (@theevilbit) van Kandji

Toegevoegd op 10 juni 2024

Symptom Framework

Impact: een app kan mogelijk registratie in het rapport over privacy van apps omzeilen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27807: Romy R.

Toegevoegd op 10 juni 2024

Sync Services

Impact: een app kan mogelijk privacyvoorkeuren omzeilen

Beschrijving: dit probleem is verholpen door verbeterde controles

CVE-2024-27847: Mickey Jin (@patch1t)

Transparency

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door middel van een nieuwe bevoegdheid.

CVE-2024-27884: Mickey Jin (@patch1t)

Toegevoegd op 29 juli 2024

Voice Control

Impact: een aanvaller kan bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27796: ajajfxhj

WebKit

Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 272750

CVE-2024-27834: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro

WebKit

Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

WebKit Bugzilla: 262337

CVE-2024-27838: Emilio Cobos van Mozilla

Toegevoegd op 10 juni 2024

WebKit

Impact: het verwerken van webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 268221

CVE-2024-27808: Lukas Bernhard van CISPA Helmholtz Center for Information Security

Toegevoegd op 10 juni 2024

WebKit

Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker

Beschrijving: dit probleem is verholpen door verbeteringen van het algoritme voor ruistoevoeging.

WebKit Bugzilla: 270767

CVE-2024-27850: een anonieme onderzoeker

Toegevoegd op 10 juni 2024

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

WebKit Bugzilla: 271491

CVE-2024-27833: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 10 juni 2024

WebKit

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

WebKit Bugzilla: 272106

CVE-2024-27851: Nan Wang (@eternalsakura13) van het 360 Vulnerability Research Institute

Toegevoegd op 10 juni 2024

WebKit Canvas

Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 271159

CVE-2024-27830: Joe Rutkowski (@Joe12387) van Crawless en @abrahamjuliot

Toegevoegd op 10 juni 2024

WebKit Web Inspector

Impact: het verwerken van webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 270139

CVE-2024-27820: Jeff Johnson van underpassapp.com

Toegevoegd op 10 juni 2024

Aanvullende erkenning

App Store

Met dank aan een anonieme onderzoeker voor de hulp.

AppleMobileFileIntegrity

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Toegevoegd op 10 juni 2024

CoreHAP

Met dank aan Adrian Cable voor de hulp.

Disk Images

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Toegevoegd op 10 juni 2024

Face ID

Met dank aan Lucas Monteiro, Daniel Monteiro en Felipe Monteiro voor de hulp.

HearingCore

Met dank aan een anonieme onderzoeker voor de hulp.

ImageIO

Met dank aan een anonieme onderzoeker voor de hulp.

Toegevoegd op 10 juni 2024

Managed Configuration

Met dank aan 遥遥领先 (@晴天组织) voor de hulp.

ReplayKit

Met dank aan Thomas Zhao voor de hulp.

Toegevoegd op 10 juni 2024

Safari-downloads

Met dank aan Arsenii Kostromin (0x3c3e) voor de hulp.

Siri

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India voor de hulp.

Toegevoegd op 10 juni 2024

Statusbalk

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 14 augustus 2024