Сведения о проблемах системы безопасности, устраняемых обновлениями iOS 17.7 и iPadOS 17.7

В этом документе описываются проблемы системы безопасности, устраняемые обновлениями iOS 17.7 и iPadOS 17.7.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iOS 17.7 и iPadOS 17.7

Дата выпуска: 16 сентября 2024 г.

Accessibility

Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может перехватить управление устройствами поблизости с помощью функций универсального доступа.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-44171: Jake Derouin

ARKit

Воздействие. При обработке вредоносного файла возможно повреждение динамической памяти.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44126: Хольгер Фурманнек (Holger Fuhrmannek)

Запись добавлена 28 октября 2024 г.

Compression

Воздействие. Злоумышленник может записывать произвольные файлы при распаковке вредоносного архива.

Описание. Условие состязания устранено путем улучшения блокировки.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с файловым доступом устранена путем улучшенной проверки ввода.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.

CVE-2024-27880: Junsung Lee

ImageIO

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-44176: dw0r из ZeroPointer Lab в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative, анонимный исследователь

IOSurfaceAccelerator

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-44169: Antonio Zekić

Kernel

Воздействие. Сетевой трафик может утекать за пределы VPN-туннеля.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-44165: Andrew Lytvynov

Kernel

Воздействие. Приложение может получить несанкционированный доступ к Bluetooth

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) и Mathy Vanhoef

Mail Accounts

Воздействие. Приложение может получить доступ к информации о контактах пользователя.

Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Логическая ошибка устранена путем улучшенной обработки файлов.

CVE-2024-44183: Olivier Levon

Safari Private Browsing

Воздействие. Вкладки в режиме «Частный доступ» могут быть доступны без аутентификации.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-44127: Anamika Adhikari

Shortcuts

Воздействие. При использовании сочетания клавиш может происходить вывод конфиденциальных данных без согласия пользователя.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Воздействие. Приложение может видеть данные, отображаемые для пользователя с помощью быстрых команд.

Описание. Проблема конфиденциальности устранена путем улучшенной обработки временных файлов.

CVE-2024-40844: Kirin (@Pwnrin) и luckyu (@uuulucky) из NorthSea

Sync Services

Воздействие. Приложение может обойти настройки конфиденциальности.

Описание. Проблема устранена путем улучшения проверок.

CVE-2024-44164: Mickey Jin (@patch1t)

Transparency

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2024-27879: Justin Cohen

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 01 ноября 2024 г.