Sobre o conteúdo de segurança do iOS 17.7.1 e iPadOS 17.7.1

Este documento descreve o conteúdo de segurança do iOS 17.7.1 e iPadOS 17.7.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

Sobre o conteúdo de segurança do iOS 17.7.1 e iPadOS 17.7.1

Lançamento: 28 de outubro de 2024

Accessibility

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas

Descrição: o problema foi resolvido por meio de melhorias no processo de autenticação.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: analisar um arquivo de vídeo criado com códigos maliciosos pode levar ao encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2024-44232: Ivan Fratric do Google Project Zero

CVE-2024-44233: Ivan Fratric do Google Project Zero

CVE-2024-44234: Ivan Fratric do Google Project Zero

Entrada adicionada em 1° de novembro de 2024

CoreText

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44240: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

Foundation

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: a análise de um arquivo pode causar a divulgação de informações do usuário

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-44282: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

ImageIO

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: processar uma imagem pode resultar na divulgação da memória de processamento

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44215: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: o processamento de uma mensagem de criada de maneira mal-intencionada pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2024-44297: Jex Amro

Kernel

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: um problema de divulgação de informações foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: a restauração de um arquivo de backup mal-intencionado pode levar à modificação de arquivos de sistema protegidos

Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.

CVE-2024-44258: Hichem Maloufi, Christian Mina e Ismail Amzdak

MobileBackup

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: a restauração de um arquivo de backup mal-intencionado pode levar à modificação de arquivos de sistema protegidos

Descrição: um problema de lógica foi resolvido por meio de melhorias no processamento de arquivos.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um conteúdo da web criado com códigos maliciosos pode violar a política de área restrita de iframe

Descrição: um problema de processamento de esquema de URLs personalizados foi resolvido por meio de melhoria na validação de entradas.

CVE-2024-44155: Narendra Bhati, gerente de segurança cibernética na Suma Soft Pvt. Ltd, Pune (Índia)

Safari Downloads

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um invasor pode usar indevidamente uma relação de confiança para baixar conteúdo mal-intencionado

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-44259: Narendra Bhati, gerente da Cyber Security na Suma Soft Pvt. Ltd, Pune (Índia)

SceneKit

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um estouro de buffer foi resolvido por meio de melhorias na validação de tamanho.

CVE-2024-44144: 냥냥

SceneKit

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: processar um arquivo criado com códigos maliciosos pode causar o corrompimento do heap

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-44218: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

Shortcuts

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um app mal-intencionado pode usar atalhos para acessar arquivos restritos

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2024-44269: pesquisador anônimo

Siri

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um app em sandbox pode ter acesso a dados confidenciais de usuários nos registros do sistema.

Descrição: um problema de divulgação de informações foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um invasor pode conseguir visualizar conteúdo restrito pela tela bloqueada

Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, gerente da Cyber Security na Suma Soft Pvt. Ltd, Pune (Índia)

Outros reconhecimentos

Segurança

Gostaríamos de agradecer a Bing Shi, Wenchao Li e Xiaolong Bai do Alibaba Group pela ajuda.

Spotlight

Gostaríamos de agradecer a Paulo Henrique Batista Rosa de Castro (@paulohbrc) pela ajuda.

WebKit

Gostaríamos de agradecer a Eli Grey (eligrey.com) pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: