Acerca dos conteúdos de segurança do iPadOS 17.7.3

Este documento descreve os conteúdos de segurança do iPadOS 17.7.3.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes estão listados na página Lançamentos de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

iPadOS 17.7.3

FontParser

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54486: Hossein Lotfi (@hosselot) do programa Zero Day Initiative da Trend Micro

ImageIO

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54500: Junsung Lee em colaboração com o programa Zero Day Initiative da Trend Micro

Kernel

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: um atacante poderá conseguir criar um mapeamento da memória só de leitura onde é possível escrever

Descrição: foi resolvida uma condição de disputa através de validação adicional.

CVE-2024-54494: sohybbyk

Kernel

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: uma app poderá conseguir divulgar o estado confidencial do kernel

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) da MIT CSAIL

Kernel

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: uma app poderá conseguir provocar um encerramento inesperado do sistema ou danificar a memória do kernel

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-44245: um investigador anónimo

libarchive

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá causar uma recusa de serviço

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2024-44201: Ben Roeder

libexpat

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: um atacante remoto poderá provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: esta é uma vulnerabilidade existente em código open source e o Software da Apple encontra-se entre os projetos afetados. O ID CVE foi atribuído por terceiros. Saiba mais sobre o problema e o ID CVE em cve.org.

CVE-2024-45490

libxpc

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: uma app poderá conseguir obter privilégios elevados

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: um atacante com uma posição privilegiada na rede poderá conseguir alterar o tráfego de rede

Descrição: este problema foi resolvido através da utilização de HTTPS durante o envio de informações pela rede.

CVE-2024-54492: Talal Haj Bakry e Tommy Mysk da Mysk Inc. (@mysk_co)

Safari

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: num dispositivo com o Reencaminhamento privado ativado, adicionar um site à Lista de leitura do Safari pode revelar o endereço IP de origem ao site

Descrição: o problema foi resolvido através de melhorias no encaminhamento de pedidos com origem no Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar uma recusa de serviço

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54501: Michael DePlante (@izobashi) do programa Zero Day Initiative da Trend Micro

VoiceOver

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: um atacante com acesso físico a um dispositivo iPadOS poderá conseguir ver os conteúdos das notificações a partir do ecrã bloqueado

Descrição: o problema foi resolvido através da adição de lógica.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) da C-DAC Thiruvananthapuram, Índia

WebKit

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar uma falha inesperada no processo

Descrição: o problema foi resolvido através de verificações melhoradas.

CVE-2024-54479: Seunghyun Lee

WebKit

Disponível para: iPad Pro de 12,9 polegadas (2.ª geração), iPad Pro de 10,5 polegadas e iPad (6.ª geração)

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar corrupção da memória

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2024-54505: Gary Kwong

Agradecimentos adicionais

Proximity

Gostaríamos de agradecer a Junming C. (@Chapoly1305) e ao Prof. Qiang Zeng da Universidade George Mason pela sua colaboração.