Acerca dos conteúdos de segurança do iOS 17.7 e iPadOS 17.7

Este documento descreve os conteúdos de segurança do iOS 17.7 e do iPadOS 17.7.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

iOS 17.7 e iPadOS 17.7

Data de lançamento: 16 de setembro de 2024

Accessibility

Disponível para: iPhone XS e posterior, iPad Pro de 13 polegadas, iPad Pro de 12,9 polegadas (2.ª geração e posterior), iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1.ª geração e posterior), iPad Air (3.ª geração e posterior), iPad (6.ª geração e posterior) e iPad mini (5.ª geração e posterior)

Impacto: um atacante com acesso físico a um dispositivo bloqueado pode conseguir Controlar aparelhos por perto através das funcionalidades de acessibilidade

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2024-44171: Jake Derouin

ARKit

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar a corrupção da área dinâmica para dados

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-44126: Holger Fuhrmannek

Entrada adicionada a 28 de outubro de 2024

Compression

Impacto: o desempacotamento de um arquivo criado com intuito malicioso poderá permitir a um atacante escrever ficheiros arbitrários

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de acesso a ficheiros através da validação melhorada.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da app

Descrição: foi resolvido um problema de leitura fora dos limites através da verificação melhorada da entrada.

CVE-2024-27880: Junsung Lee

ImageIO

Impacto: o processamento de uma imagem pode resultar numa recusa de serviço

Descrição: foi resolvido um problema de acesso fora dos limites através da verificação melhorada dos limites.

CVE-2024-44176: dw0r do ZeroPointer Lab em colaboração com o programa Zero Day Initiative da Trend Micro, um investigador anónimo

IOSurfaceAccelerator

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-44169: Antonio Zekić

Kernel

Impacto: o tráfego de rede pode escapar para fora de um tunel VPN

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impacto: uma app pode obter acesso não autorizado ao Bluetooth

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

Mail Accounts

Impacto: uma app maliciosa poderá conseguir aceder a informações sobre os contactos do utilizador

Descrição: um problema de privacidade foi resolvido através de melhorias na redação de dados privados de entradas do registo.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impacto: uma app poderá causar uma recusa de serviço

Descrição: foi resolvido um erro de lógica através de um processamento melhorado do erro.

CVE-2024-44183: Olivier Levon

Safari Private Browsing

Impacto: os separadores de Navegação privada podem ser acedidos sem autenticação

Descrição: este problema foi resolvido através da gestão melhorada do estado.

CVE-2024-44127: Anamika Adhikari

Shortcuts

Impacto: um atalho poderá apresentar dados confidenciais do utilizador sem consentimento

Descrição: este problema foi resolvido através de melhorias na redação de informações confidenciais.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impacto: uma app pode ser capaz de observar os dados do utilizador através dos Atalhos

Descrição: foi resolvido um problema de privacidade através do processamento melhorado de ficheiros temporários.

CVE-2024-40844: Kirin (@Pwnrin) e luckyu (@uuulucky) do NorthSea

Sync Services

Impacto: uma app poderá conseguir contornar as preferências de privacidade

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2024-44164: Mickey Jin (@patch1t)

Transparency

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de permissões com restrições adicionais.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impacto: um atacante poderá conseguir provocar o encerramento inesperado de apps

Descrição: o problema foi resolvido através de verificações melhoradas dos limites.

CVE-2024-27879: Justin Cohen

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: 01 de novembro de 2024