Zawartość związana z zabezpieczeniami w systemach iOS 17.7 i iPadOS 17.7
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 17.7 i iPadOS 17.7.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
iOS 17.7 i iPadOS 17.7
Wydano 16 września 2024 r.
Accessibility
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie poprzez funkcje dostępności użyć funkcji Sterowanie pobliskimi urządzeniami.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-44171: Jake Derouin
ARKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do uszkodzenia sterty.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-44126: Holger Fuhrmannek
Wpis dodano 28 października 2024 r.
Compression
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może umożliwić osobie atakującej zapisanie dowolnych plików.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2024-27876: Snoolie Keffaber (@0xilis)
Game Center
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto błąd dostępu do pliku przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-27880: Junsung Lee
ImageIO
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2024-44176: dw0r z ZeroPointer Lab w ramach programu Zero Day Initiative firmy Trend Micro, anonimowy badacz
IOSurfaceAccelerator
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-44169: Antonio Zekić
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: ruch sieciowy może wyciekać poza tunel VPN.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2024-44165: Andrew Lytvynov
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do Bluetooth.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef
Mail Accounts
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)
mDNSResponder
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.
CVE-2024-44183: Olivier Levon
Safari Private Browsing
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: dostęp do kart przeglądania prywatnego można uzyskać bez uwierzytelnienia.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-44127: Anamika Adhikari
Shortcuts
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: skrót może wyświetlić poufne dane użytkownika bez jego zgody.
Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.
CVE-2024-44158: Kirin (@Pwnrin)
Shortcuts
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie obserwować dane wyświetlane użytkownikowi przez Skróty.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.
CVE-2024-40844: Kirin (@Pwnrin) i luckyu (@uuulucky) z NorthSea
Sync Services
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2024-44164: Mickey Jin (@patch1t)
Transparency
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)
UIKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2024-27879: Justin Cohen
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.