Sobre o conteúdo de segurança do iOS 17.7 e do iPadOS 17.7

Este documento descreve o conteúdo de segurança do iOS 17.7 e do iPadOS 17.7.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

iOS 17.7 e iPadOS 17.7

Lançamento em 16 de setembro de 2024

Accessibility

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ser capaz de controlar dispositivos próximos por meio dos recursos de acessibilidade

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-44171: Jake Derouin

ARKit

Impacto: processar um arquivo criado com códigos maliciosos pode causar o corrompimento do heap

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44126: Holger Fuhrmannek

Entrada adicionada em 28 de outubro de 2024

Compression

Impacto: descompactar um arquivo criado com códigos maliciosos pode permitir que um invasor grave arquivos arbitrários

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de acesso aos arquivos foi resolvido com a melhoria da validação de entradas.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-27880: Junsung Lee

ImageIO

Impacto: o processamento de uma imagem pode levar a uma negação de serviço

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2024-44176: dw0r do ZeroPointer Lab trabalhando com a Trend Micro Zero Day Initiative, pesquisador anônimo

IOSurfaceAccelerator

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-44169: Antonio Zekić

Kernel

Impacto: o tráfego de rede pode vazar para fora de um túnel de VPN

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impacto: um app pode obter acesso não autorizado ao Bluetooth

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

Mail Accounts

Impacto: um app pode conseguir acessar informações sobre os contatos de um usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um erro de lógica foi resolvido com a melhoria do tratamento de erros.

CVE-2024-44183: Olivier Levon

Safari Private Browsing

Impacto: as abas de navegação privada podem ser acessadas sem autenticação

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-44127: Anamika Adhikari

Shortcuts

Impacto: um atalho pode gerar dados confidenciais do usuário sem consentimento

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impacto: um app pode ser capaz de observar dados exibidos para o usuário pelo Atalhos

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos temporários.

CVE-2024-40844: Kirin (@Pwnrin) e luckyu (@uuulucky) da NorthSea

Sync Services

Impacto: um app pode ignorar as preferências de Privacidade

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44164: Mickey Jin (@patch1t)

Transparency

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impacto: um invasor poderia causar um desligamento inesperado de apps

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2024-27879: Justin Cohen

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 01 de novembro de 2024