Sobre o conteúdo de segurança do iOS 17.4 e do iPadOS 17.4

Este documento descreve o conteúdo de segurança do iOS 17.4 e do iPadOS 17.4.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

iOS 17.4 e iPadOS 17.4

Lançado em 5 de março de 2024

Accessibility

Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-23243: Cristian Dinca da "Tudor Vianu" National High School of Computer Science, Romênia

Accessibility

Impacto: um app pode falsificar a IU e as notificações do sistema

Descrição: esse problema foi resolvido por meio de verificações adicionais de direitos.

CVE-2024-23262: Guilherme Rambo, da Best Buddy Apps (rambo.codes)

Entrada adicionada em terça-feira, 7 de março de 2024

Accessibility

Impacto: um app malicioso pode ser capaz de observar dados de usuário em entradas de registro relacionadas a notificações de acessibilidade

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-23291

Entrada adicionada em terça-feira, 7 de março de 2024

AppleMobileFileIntegrity

Impacto: um app pode elevar privilégios

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

CVE-2024-23288: Wojciech Regula da SecuRing (wojciechregula.blog) e Kirin (@Pwnrin)

Entrada adicionada em terça-feira, 7 de março de 2024

Bluetooth

Impacto: um invasor com uma posição privilegiada de rede poderia ser capaz de introduzir toques de teclas ao falsificar um teclado

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-23277: Marc Newlin da SkySafe

Entrada adicionada em terça-feira, 7 de março de 2024

CoreBluetooth - LE

Impacto: um app pode ser capaz de acessar microfones conectados ao Bluetooth sem a permissão do usuário

Descrição: um problema de acesso foi resolvido por meio de melhorias nas restrições de acesso.

CVE-2024-23250: Guilherme Rambo, da Best Buddy Apps (rambo.codes)

Entrada adicionada em terça-feira, 7 de março de 2024

ExtensionKit

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-23205

Entrada adicionada em terça-feira, 7 de março de 2024

file

Impacto: processar um arquivo pode levar a uma recusa de serviço ou uma possível divulgação de conteúdo da memória

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2022-48554

Entrada adicionada em terça-feira, 7 de março de 2024

Image Processing

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-23270: um pesquisador anônimo

Entrada adicionada em terça-feira, 7 de março de 2024

ImageIO

Impacto: processar uma imagem poderia causar a execução de códigos arbitrários

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-23286: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro, Amir Bazine e Karsten König da CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), bem como Lyutoon e Mr.R

Entrada adicionada em 7 de março de 2024 e atualizada em 29 de maio de 2024

Kernel

Impacto: um invasor com capacidade de leitura e gravação arbitrária pode ignorar as proteções de memória de kernel. A Apple está ciente de um relatório de que esse problema pode ter sido explorado.

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2024-23225

Kernel

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2024-23235

Entrada adicionada em terça-feira, 7 de março de 2024

Kernel

Impacto: um app pode causar o encerramento inesperado do sistema ou gravar na memória do kernel

Descrição: uma vulnerabilidade de memória corrompida foi resolvida por meio de melhorias no bloqueio.

CVE-2024-23265: Xinru Chi do Pangu Lab

Entrada adicionada em terça-feira, 7 de março de 2024

libxpc

Impacto: um app pode conseguir sair de sua área restrita

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-23278: um pesquisador anônimo

Entrada adicionada em terça-feira, 7 de março de 2024

libxpc

Impacto: um app pode executar código arbitrário fora da área restrita ou com determinados privilégios elevados

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-0258: ali yabuz

Entrada adicionada em terça-feira, 7 de março de 2024

MediaRemote

Impacto: um aplicativo malicioso pode ter acesso a informações privadas

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-23297: scj643

Entrada adicionada em terça-feira, 7 de março de 2024

Messages

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2024-23287: Kirin (@Pwnrin)

Entrada adicionada em terça-feira, 7 de março de 2024

Metal

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em terça-feira, 7 de março de 2024

Photos

Impacto: agitar para desfazer pode permitir que uma foto apagada reapareça sem autenticação

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-23240: Harsh Tyagi

Entrada adicionada em terça-feira, 7 de março de 2024

Photos

Impacto: as fotos no álbum de fotos ocultas podem ser visualizadas sem autenticação

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-23255: Harsh Tyagi

Entrada adicionada em terça-feira, 7 de março de 2024

RTKit

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2024-23296

Safari

Impacto: um app pode conseguir capturar a impressão digital do usuário

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2024-23220

Entrada adicionada em terça-feira, 7 de março de 2024

Safari

Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-23259: Lyra Rebane (rebane2001)

Entrada adicionada em terça-feira, 7 de março de 2024

Safari Private Browsing

Impacto: as abas bloqueadas de um usuário podem ficar brevemente visíveis ao alternar grupos de abas quando a Navegação Privada Bloqueada estiver ativada

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-23256: Om Kothawade

Safari Private Browsing

Impacto: as abas de navegação privada podem ser acessadas sem autenticação

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-23273: Matej Rabzelj

Entrada adicionada em terça-feira, 7 de março de 2024

Sandbox

Impacto: um app pode causar vazamento de informações confidenciais do usuário

Descrição: uma condição de corrida foi resolvida por meio de melhorias no gerenciamento de estados.

CVE-2024-23239: Mickey Jin (@patch1t)

Entrada adicionada em terça-feira, 7 de março de 2024

Sandbox

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2024-23290: Wojciech Regula da SecuRing (wojciechregula.blog)

Entrada adicionada em terça-feira, 7 de março de 2024

Share Sheet

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-23231: Kirin (@Pwnrin) e luckyu (@uuulucky)

Entrada adicionada em terça-feira, 7 de março de 2024

Shortcuts

Impacto: um app pode conseguir acessar informações sobre os contatos de um usuário

Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.

CVE-2024-23292: K宝 e LFY@secsys da Fudan University

Entrada adicionada em terça-feira, 7 de março de 2024

Siri

Impacto: uma pessoa com acesso físico a um dispositivo pode ser capaz de usar a Siri para obter acesso a informações de calendários privados

Descrição: um problema na tela bloqueada foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2024-23289: Lewis Hardy

Entrada adicionada em terça-feira, 7 de março de 2024

Siri

Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-23293: Bistrit Dahal

Entrada adicionada em terça-feira, 7 de março de 2024

Spotlight

Impacto: um app pode causar vazamento de informações confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-23241

Entrada adicionada em terça-feira, 7 de março de 2024

Synapse

Impacto: um app pode conseguir visualizar dados do Mail

Descrição: foi resolvido um problema de privacidade ao não registrar conteúdos de campos de texto.

CVE-2024-23242

Entrada adicionada em terça-feira, 7 de março de 2024

UIKit

Impacto: um app pode conseguir sair de sua área restrita

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

CVE-2024-23246: Deutsche Telekom Security GmbH patrocinado por Bundesamt für Sicherheit in der Informationstechnik

Entrada adicionada em terça-feira, 7 de março de 2024

WebKit

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

Entrada adicionada em terça-feira, 7 de março de 2024

WebKit

Impacto: um site malicioso pode extrair dados de áudio de origem cruzada

Descrição: o problema foi resolvido por meio de melhorias no processamento da interface do usuário.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

Entrada adicionada em terça-feira, 7 de março de 2024

WebKit

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

Entrada adicionada em terça-feira, 7 de março de 2024

WebKit

Impacto: uma página da Web criada com códigos maliciosos pode criar uma representação exclusiva do usuário

Descrição: um problema de injeção foi resolvido por meio de melhorias na validação.

WebKit Bugzilla: 266703

CVE-2024-23280: um pesquisador anônimo

Entrada adicionada em terça-feira, 7 de março de 2024

WebKit

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber e Marco Squarcina

Entrada adicionada em terça-feira, 7 de março de 2024

Outros reconhecimentos

AirDrop

Gostaríamos de agradecer a Cristian Dinca da "Tudor Vianu" National High School of Computer Science, Romênia, pela ajuda.

CoreAnimation

Queremos agradecer a Junsung Lee pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

CoreMotion

Gostaríamos de agradecer a Eric Dorphy da Twin Cities App Dev LLC pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

Find My

Gostaríamos de agradecer a Meng Zhang (鲸落) da NorthSea pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

Kernel

Gostaríamos de agradecer a Tarek Joumaa (@tjkr0wn) e 이준성(Junsung Lee) pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

libxml2

Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

libxpc

Gostaríamos de agradecer a Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) e um pesquisador anônima pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

Mail Conversation View

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

NetworkExtension

Gostaríamos de agradecer a Mathy Vanhoef (KU Leuven University) pela ajuda.

Photos

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

Power Management

Gostaríamos de agradecer a Pan ZhenPeng (@Peterpan0927) da STAR Labs SG Pte. Ltd. pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

Safari

Gostaríamos de agradecer a Abhinav Saraswat e Matthew C pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

Sandbox

Gostaríamos de agradecer a Zhongquan Li (@Guluisacat) pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

Settings

Gostaríamos de agradecer a Christian Scalese, Logan Ramgoon, Lucas Monteiro, Daniel Monteiro, Felipe Monteiro e Peter Watthey pela ajuda.

Shortcuts

Gostaríamos de agradecer a Yusuf Kelany pela ajuda.

Entrada adicionada em segunda-feira, 29 de julho de 2024

Siri

Queremos agradecer a Bistrit Dahal pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

Software Update

Gostaríamos de agradecer a Bin Zhang da Dublin City University pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

WebKit

Gostaríamos de agradecer a Nan Wang (@eternalsakura13) do 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina e Lorenzo Veronese da TU Wien pela ajuda.

Entrada adicionada em terça-feira, 7 de março de 2024

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 13 de agosto de 2024