Despre conținutul de securitate din iOS 16.7.9 și iPadOS 16.7.9.

Acest document descrie conținutul de securitate din iOS 16.7.9 și iPadOS 16.7.9.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 16.7.9 și iPadOS 16.7.9

CoreGraphics

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-40799: D4m0n

CoreMedia

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2024-27873: Amir Bazine și Karsten König din cadrul CrowdStrike Counter Adversary Operations

ImageIO

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-40806: Yisumi

ImageIO

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2024-40784: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative și Gandalf4a

Kernel

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2024-40788: Minghao Lin și Jiaxun Zhu din cadrul Universității Zhejiang

NetworkExtension

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: la navigarea în spațiu privat, este posibil să se producă scăpări ale istoricului de navigare

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-40796: Adam M.

Photos Storage

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: fotografiile din albumul Poze ascunse pot fi vizualizate fără autentificare

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2024-40778: Mateen Alinaghi

Security

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: o aplicație ar putea citi istoricul de navigare din Safari

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-40798: Adam M.

Shortcuts

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-40833: un cercetător anonim

CVE-2024-40835: un cercetător anonim

CVE-2024-40836: un cercetător anonim

Shortcuts

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: O scurtătură ar putea ocoli cerințele privind permisiunile pentru Internet

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-40809: un cercetător anonim

CVE-2024-40812: un cercetător anonim

Siri

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-40818: Bistrit Dahal și Srijan Poudel

Siri

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: un atacator ar putea să vizualizeze informații sensibile despre utilizator

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-40786: Bistrit Dahal

Siri

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: un atacator cu acces fizic la un dispozitiv ar putea accesa contacte din ecranul de blocare

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-40822: Srijan Poudel

Siri

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: o aplicație din sandbox ar putea accesa date sensibile ale utilizatorului din jurnalele de sistem

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-44205: Jiahui Hu (梅零落) și Meng Zhang (鲸落) de la NorthSea

VoiceOver

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: un atacator ar putea vizualiza conținut restricționat din ecranul de blocare

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India

WebKit

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-40789: Seunghyun Lee (@0x10n) din cadrul KAIST Hacking Lab, în colaborare cu Trend Micro Zero Day Initiative

WebKit

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2024-40776: Huang Xilin din cadrul Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-40779: Huang Xilin din cadrul Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin din cadrul Ant Group Light-Year Security Lab

WebKit

Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație

Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

Alte mențiuni

Shortcuts

Dorim să îi mulțumim unui cercetător anonim pentru asistență.