Sobre o conteúdo de segurança do iPadOS 17.7.3

Este documento descreve o conteúdo de segurança do iPadOS 17.7.3.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

iPadOS 17.7.3

FontParser

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54486: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro

ImageIO

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar uma imagem criada com códigos maliciosos poderia resultar na divulgação da memória de processamento

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54500: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro

Kernel

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um invasor poderia ser capaz de criar um mapeamento de memória de somente leitura que podia ser gravado

Descrição: uma condição de corrida foi resolvida por meio de validação adicional.

CVE-2024-54494: sohybbyk

Kernel

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode causar vazamento de estados confidenciais do kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) do MIT CSAIL

Kernel

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-44245: pesquisador anônimo

libarchive

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar um arquivo criado com códigos maliciosos pode resultar em negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-44201: Ben Roeder

libexpat

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um invasor remoto pode causar o encerramento inesperado de apps ou a execução arbitrária de códigos

Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.

CVE-2024-45490

libxpc

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um app pode obter privilégios elevados

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: um invasor em uma posição de rede privilegiada pode alterar o tráfego de rede

Descrição: este problema foi resolvido pelo uso de HTTPS ao enviar informações pela rede.

CVE-2024-54492: Talal Haj Bakry e Tommy Mysk da Mysk Inc. (@mysk_co)

Safari

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: em um dispositivo com Retransmissão Privada ativada, adicionar um site à Lista de Leitura do Safari pode revelar o endereço IP de origem para o site

Descrição: o problema foi resolvido com o melhor roteamento de solicitações originadas pelo Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar um arquivo criado com códigos maliciosos pode resultar em negação de serviço

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54501: Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro

VoiceOver

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: uma pessoa com acesso físico a um dispositivo iPadOS pode ser capaz de acessar as notas por meio da tela bloqueada

Descrição: o problema foi resolvido por meio da inclusão de lógica adicional.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) da C-DAC Thiruvananthapuram India

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2024-54479: Seunghyun Lee

WebKit

Disponível para: iPad Pro 12,9 polegadas 2ª geração, iPad Pro 10,5 polegadas e iPad 6ª geração

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na corrupção de memória

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-54505: Gary Kwong

Outros reconhecimentos

Proximity

Gostaríamos de agradecer a Junming C. (@Chapoly1305) e Prof. Qiang Zeng da George Mason University pela ajuda.