Zawartość związana z zabezpieczeniami w systemie iPadOS  17.7.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie iPadOS 17.7.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iPadOS 17.7.3

FontParser

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-54486: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-54500: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro

Kernel

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: osoba atakująca może być w stanie utworzyć mapowanie pamięci tylko do odczytu z możliwością zapisu

Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2024-54494: sohybbyk

Kernel

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) z MIT CSAIL

Kernel

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-44245: anonimowy badacz

libarchive

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-44201: Ben Roeder

libexpat

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: atakujący zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.

CVE-2024-45490

libxpc

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-44225: 风沐云烟 (@binary_fmyy)

Passwords

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie zmodyfikować ruch sieciowy.

Opis: ten problem naprawiono przez wprowadzenie wysyłania informacji przez sieć za pomocą protokołu HTTPS.

CVE-2024-54492: Talal Haj Bakry i Tommy Mysk z Mysk Inc. (@mysk_co)

Safari

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: w urządzeniu z włączoną funkcją Private Relay dodanie strony internetowej do listy odczytu przeglądarki Safari może ujawnić początkowy adres IP witryny

Opis: ten błąd naprawiono przez poprawienie przekierowywania żądań generowanych z poziomu przeglądarki Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-54501: Michael DePlante (@izobashi) z Trend Micro’s Zero Day Initiative

VoiceOver

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: osoba atakująca mająca fizyczny dostęp do urządzenia z systemem iPadOS może być w stanie wyświetlić zawartość powiadomień z poziomu ekranu blokady

Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) z C-DAC Thiruvananthapuram India

WebKit

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-54479: Seunghyun Lee

WebKit

Dostępne dla: iPada Pro 12,9 cala 2. generacji, iPada Pro 10,5 cala i iPada 6. generacji

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2024-54505: Gary Kwong

Dodatkowe podziękowania

Proximity

Dziękujemy za udzieloną pomoc: Junming C. (@Chapoly1305) i Prof. Qiang Zeng z George Mason University.