Obsah zabezpečenia v systémoch iOS 16.7.9. a iPadOS 16.7.9.
V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 16.7.9. a iPadOS 16.7.9.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.
iOS 16.7.9 a iPadOS 16.7.9
Vydané 29. júla 2024
CoreGraphics
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-40799: D4m0n
CoreMedia
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie videosúboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-27873: Amir Bazine a Karsten König z CrowdStrike Counter Adversary Operations
ImageIO
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-40806: Yisumi
ImageIO
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-40784: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Gandalf4a
Kernel
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Vplyv: Lokálny útočník môže byť schopný spôsobiť neočakávané vypnutie systému
Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-40788: Minghao Lin a Jiaxun Zhu z univerzity v Če-ťiangu
NetworkExtension
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Pri súkromnom prehliadaní môže dôjsť k úniku časti histórie prehliadania
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-40796: Adam M.
Photos Storage
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Fotky v albume so skrytými fotkami môže byť možné zobraziť bez overenia
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2024-40778: Mateen Alinaghi
Security
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka možno dokáže čítať históriu surfovania v Safari
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2024-40798: Adam M.
Shortcuts
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Skratka môže byť schopná používať pre určité akty citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2024-40833: Anonymný výskumník
CVE-2024-40835: Anonymný výskumník
CVE-2024-40836: Anonymný výskumník
Shortcuts
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Skratka môže byť schopná obísť požiadavky internetových povolení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2024-40809: Anonymný výskumník
CVE-2024-40812: Anonymný výskumník
Siri
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa
Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.
CVE-2024-40818: Bistrit Dahal a Srijan Poudel
Siri
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2024-40786: Bistrit Dahal
Siri
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník s fyzickým prístupom k zariadeniu môže byť schopný získať prístup ku kontaktom zo zamknutej obrazovky
Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.
CVE-2024-40822: Srijan Poudel
Siri
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka v sandboxe môže mať prístup k citlivým údajom používateľa v systémových protokoloch.
Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-44205: Jiahui Hu (梅零落) a Meng Zhang (鲸落) z NorthSea
Dátum pridania záznamu: 15. októbra 2024
VoiceOver
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2024-40789: Seunghyun Lee (@0x10n) z tímu KAIST Hacking Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin z tímu Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin z tímu Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin z tímu Ant Group Light-Year Security Lab
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
Ďalšie poďakovanie
Shortcuts
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.