Om sikkerhetsinnholdet i iOS 16.7.9 og iPadOS 16.7.9

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 16.7.9 og iPadOS 16.7.9.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

iOS 16.7.9 og iPadOS 16.7.9

CoreGraphics

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40799: D4m0n

CoreMedia

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av en skadelig videofil kan føre til uventet appavslutning.

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

ImageIO

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40806: Yisumi

ImageIO

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2024-40784: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative og Gandalf4a

Kernel

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En lokal angriper kan forårsake uventet systemavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

NetworkExtension

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Privat nettlesing kan lekke deler av nettleserloggen

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-40796: Adam M.

Photos Storage

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Bilder i Skjulte bilder-albumet kan være tilgjengelige uten autentisering

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-40778: Mateen Alinaghi

Security

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Et program kan være i stand til å lese nettleserloggen til Safari

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-40798: Adam M.

Shortcuts

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40833: en anonym forsker

CVE-2024-40835: en anonym forsker

CVE-2024-40836: en anonym forsker

Shortcuts

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En snarvei kan forbigå krav om internettillatelse

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40809: en anonym forsker

CVE-2024-40812: en anonym forsker

Siri

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En angriper med fysisk tilgang kan bruke Siri til å få tilgang til sensitive brukeropplysninger

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2024-40818: Bistrit Dahal og Srijan Poudel

Siri

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En angriper kan få tilgang til sensitiv brukerinformasjon

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-40786: Bistrit Dahal

Siri

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En angriper med fysisk tilgang til en enhet kan få tilgang til kontakter fra låst skjerm

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2024-40822: Srijan Poudel

Siri

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En app som kjøres i sandkasse kan få tilgang til sensitive brukerdata i systemlogger

Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44205: Jiahui Hu (梅零落) og Meng Zhang (鲸落) hos NorthSea

VoiceOver

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India

WebKit

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-40789: Seunghyun Lee (@0x10n) hos KAIST Hacking Lab i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-40776: Huang Xilin hos Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2024-40779: Huang Xilin hos Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin hos Ant Group Light-Year Security Lab

WebKit

Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)

Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

Ytterligere anerkjennelser

Shortcuts

Vi vil gjerne takke en anonym forsker for hjelpen.