Despre conținutul de securitate din iOS 17.7.1 și iPadOS 17.7.1

Acest document descrie conținutul de securitate din iOS 17.7.1 și iPadOS 17.7.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

Despre conținutul de securitate din iOS 17.7.1 și iPadOS 17.7.1

Accessibility

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator cu acces fizic la un dispozitiv blocat poate vedea informații confidențiale despre utilizatori

Descriere: problema a fost rezolvată prin îmbunătățirea autentificării.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: analizarea unui fișier video creat cu rea intenție poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-44232: Ivan Fratric din cadrul Google Project Zero

CVE-2024-44233: Ivan Fratric din cadrul Google Project Zero

CVE-2024-44234: Ivan Fratric din cadrul Google Project Zero

CoreText

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44240: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

Foundation

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: analizarea unui fișier poate cauza divulgarea informațiilor despre utilizator

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-44282: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

ImageIO

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea unei imagini poate cauza divulgarea memoriei de proces

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-44215: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative

ImageIO

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-44297: Jex Amro

Kernel

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: a fost remediată o problemă de divulgare de informații prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: restaurarea unui fișier backup creat cu rea intenție poate cauza modificarea fișierelor de sistem protejate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării linkurilor simbolice.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: restaurarea unui fișier backup creat cu rea intenție poate cauza modificarea fișierelor de sistem protejate

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării fișierelor.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: Conținutul site-urilor web create cu rea intenție poate încălca politica de sandboxing iframe

Descriere: prin optimizarea validării intrărilor, s-a rezolvat o problemă privind gestionarea schemei URL personalizate.

CVE-2024-44155: Narendra Bhati, Manager de Securitate cibernetică la Suma Soft Pvt. Ltd, Pune (India)

Safari Downloads

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator poate reuși să folosească necorespunzător o relație de încredere pentru a descărca un conținut dăunător

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44259: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: Procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2024-44144: 냥냥

SceneKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: este posibil ca procesarea unei fișier creat cu rea intenție să poată provoca alterarea segmentului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-44218: Michael DePlante (@izobashi) din cadrul Trend Micro Zero Day Initiative

Shortcuts

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație rău intenționată poate utiliza scurtături pentru a accesa fișiere restricționate

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44269: un cercetător anonim

Siri

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație care rulează în sandbox poate accesa date sensibile ale utilizatorilor în jurnalele de sistem

Descriere: a fost remediată o problemă de divulgare de informații prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: Un atacator ar putea vizualiza conținut restricționat din ecranul de blocare

Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-44296: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

Alte mențiuni

Security

Dorim să le mulțumim lui Bing Shi, Wenchao Li and Xiaolong Bai de la Alibaba Group pentru asistența acordată.

Spotlight

Dorim să îi mulțumim lui Paulo Henrique Batista Rosa de Castro (@paulohbrc) pentru asistența acordată.

WebKit

Dorim să îi mulțumim lui Eli Grey (eligrey.com) pentru asistența acordată.