Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 17.4 и iPadOS 17.4

В этом документе описываются проблемы системы безопасности, устраняемые обновлениями iOS 17.4 и iPadOS 17.4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

iOS 17.4 и iPadOS 17.4

Accessibility

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-23243: Cristian Dinca из Национальной высшей школы компьютерных наук Тудора Виану (Румыния)

Accessibility

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение могло фальсифицировать системные уведомления и элементы интерфейса пользователя.

Описание. Проблема устранена путем ввода дополнительных проверок прав.

CVE-2024-23262: Guilherme Rambo из Best Buddy Apps (rambo.codes)

Accessibility

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Вредоносное приложение может отслеживать пользовательские данные в записях журнала, связанных с уведомлениями о специальных возможностях.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-23291

AppleMobileFileIntegrity

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может повышать уровень привилегий.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2024-23288: Wojciech Regula из компании SecuRing (wojciechregula.blog) и Kirin (@Pwnrin)

Bluetooth

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Злоумышленник, находящийся в привилегированном положении в сети, может получить возможность ввести нажатия клавиш, подделав клавиатуру.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-23277: Marc Newlin из SkySafe

CoreBluetooth — LE

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может получить доступ к микрофонам, подключенным через Bluetooth, без разрешения пользователя.

Описание. Проблема доступа устранена путем улучшения ограничений доступа.

CVE-2024-23250: Guilherme Rambo из Best Buddy Apps (rambo.codes)

ExtensionKit

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-23205

file

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Обработка файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.

Описание. Проблема устранена путем улучшения проверок.

CVE-2022-48554

Image Processing

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-23270: анонимный исследователь

ImageIO

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Обработка изображения может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2024-23286: Junsung Lee в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative, Amir Bazine и Karsten König из CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) и Lyutoon and Mr.R

Kernel

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Злоумышленник с возможностями произвольного чтения и записи ядра может обойти защиту памяти ядра. Компании Apple известно о том, что этой проблемой могли пользоваться.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2024-23225

Kernel

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2024-23235

Kernel

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.

Описание. Уязвимость, связанная с повреждением данных в памяти, устранена путем улучшения блокировки.

CVE-2024-23265: Синру Чи (Xinru Chi) из Pangu Lab

libxpc

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-23278: анонимный исследователь

libxpc

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может выполнять произвольный код за границами своей изолированной среды или с определенными привилегиями более высокого уровня.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-0258: ali yabuz

MediaRemote

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Вредоносное приложение может получить доступ к личной информации.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-23297: scj643

Messages

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфиденциальности устранена путем улучшенной обработки временных файлов.

CVE-2024-23287: Kirin (@Pwnrin)

Metal

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшения очистки ввода.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

Photos

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Функция «Встряхивание для отмены» может позволить повторное отображение удаленной фотографии без аутентификации.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-23240: Harsh Tyagi

Photos

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Фотографии в альбоме «Скрытые» можно просмотреть без аутентификации.

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2024-23255: Harsh Tyagi

RTKit

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Злоумышленник с возможностями произвольного чтения и записи ядра может обойти защиту памяти ядра. Компании Apple известно о том, что этой проблемой могли пользоваться.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.

CVE-2024-23296

Safari

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может снимать отпечатки пальцев пользователя.

Описание. Проблема устранена путем улучшенной обработки кэшей.

CVE-2024-23220

Safari

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-23259: Lyra Rebane (rebane2001)

Safari Private Browsing

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Заблокированные вкладки пользователя могут кратковременно отображаться при переключении групп вкладок, если включен режим Locked Private Browsing (Защищенный частный просмотр).

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2024-23256: Om Kothawade

Safari Private Browsing

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Вкладки в режиме «Частный доступ» могут быть доступны без аутентификации.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-23273: Matej Rabzelj

Sandbox

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может вызвать утечку конфиденциальных пользовательских данных.

Описание. Условие состязания устранено путем улучшения обработки состояний.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2024-23290: Wojciech Regula из компании SecuRing (wojciechregula.blog)

Share Sheet

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-23231: пользователи Kirin (@Pwnrin) и luckyu (@uuulucky)

Shortcuts

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может получить доступ к информации о контактах пользователя.

Описание. Проблема устранена путем улучшения защиты данных.

CVE-2024-23292: пользователи K宝 и LFY@secsys из Университета Фудань

Siri

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Пользователь с физическим доступом к устройству может использовать Siri для получения доступа к личной информации в календаре.

Описание. Проблема с экраном блокировки решена путем улучшения управления состояниями.

CVE-2024-23289: Lewis Hardy

Siri

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Злоумышленник с физическим доступом может использовать Siri для получения доступа к конфиденциальным данным пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-23293: Bistrit Dahal

Spotlight

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может вызвать утечку конфиденциальных пользовательских данных.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-23241

Synapse

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может просматривать данные Почты.

Описание. Проблема конфиденциальности была решена путем отказа от регистрации содержимого текстовых полей.

CVE-2024-23242

UIKit

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2024-23246: компания Deutsche Telekom Security GmbH, спонсором которой является Bundesamt für Sicherheit in der Informationstechnik

WebKit

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-23226: Pwn2car

WebKit

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Вредоносный веб-сайт может приводить к утечке аудиоданных в другой домен.

Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Вредоносный веб-сайт может создавать уникальный образ пользователя.

Описание. Проблема внедрения устранена путем улучшенной проверки.

CVE-2024-23280: анонимный исследователь

WebKit

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Проблема с логикой устранена путем улучшенного управления состояниями.

CVE-2024-23284: Georg Felber и Marco Squarcina

Дополнительные благодарности

AirDrop

Выражаем благодарность за помощь Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu, Румыния.

CoreAnimation

Выражаем благодарность за помощь пользователю Junsung Lee.

CoreMotion

Выражаем благодарность за помощь Eric Dorphy из Twin Cities App Dev LLC.

Find My

Выражаем благодарность за помощь Meng Zhang (鲸落) из NorthSea.

Kernel

Выражаем благодарность за помощь пользователю Tarek Joumaa (@tjkr0wn) и 이준성(Junsung Lee).

libxml2

Выражаем благодарность за помощь компании OSS-Fuzz и Ned Williamson из подразделения Google Project Zero.

libxpc

Выражаем благодарность за помощь Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) и анонимному исследователю.

Mail Conversation View

Выражаем благодарность за помощь анонимному исследователю.

NetworkExtension

Выражаем благодарность за помощь Mathy Vanhoef (Лёвенский католический университет).

Photos

Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина.

Power Management

Выражаем благодарность за помощь Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd.

Safari

Выражаем благодарность за помощь пользователям Abhinav Saraswat и Matthew C.

Sandbox

Выражаем благодарность за помощь Zhongquan Li (@Guluisacat).

Settings

Выражаем благодарность за помощь Christian Scalese, Logan Ramgoon, Lucas Monteiro, Daniel Monteiro, Felipe Monteiro и Peter Watthey.

Shortcuts

Выражаем благодарность за помощь Yusuf Kelany.

Siri

Выражаем благодарность за помощь пользователю Bistrit Dahal.

Software Update

Выражаем благодарность за помощь Bin Zhang из Городского университета Дублина.

WebKit

Выражаем благодарность за помощь пользователям Nan Wang (@eternalsakura13) из 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina и Lorenzo Veronese из TU Wien.