Obsah zabezpečenia v systémoch iOS 17.7.1 a iPadOS 17.7.1
V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 17.7.1 a iPadOS 17.7.1.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.
Obsah zabezpečenia v systémoch iOS 17.7.1 a iPadOS 17.7.1
Dátum vydania: 28. októbra 2024
Accessibility
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Útočník s fyzickým prístupom k zamknutému zariadeniu môže byť schopný zobraziť si citlivé informácie používateľa
Popis: Tento problém bol vyriešený vylepšením overovania.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
AppleAVD
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Analýza súboru videa so škodlivým kódom môže viesť k neočakávanému ukončeniu systému
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2024-44232: Ivan Fratric z tímu Google Project Zero
CVE-2024-44233: Ivan Fratric z tímu Google Project Zero
CVE-2024-44234: Ivan Fratric z tímu Google Project Zero
Dátum pridania záznamu: 1. novembra 2024
CoreText
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-44240: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2024-44302: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro
Foundation
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Analýza súboru môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-44282: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro
ImageIO
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-44215: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
ImageIO
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby.
Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.
CVE-2024-44297: Jex Amro
Kernel
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra
Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Obnovenie súboru zálohy so škodlivým kódom môže mať za následok úpravu chránených systémových súborov
Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Obnovenie súboru zálohy so škodlivým kódom môže mať za následok úpravu chránených systémových súborov
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Safari
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Webový obsah so škodlivým kódom môže porušovať zásady izolovania priestoru pre prvky iFrame
Popis: Dochádzalo k problému so spracovaním vlastnej schémy URL, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-44155: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)
Safari Downloads
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Útočník môže byť schopný zneužiť vzťah dôvery medzi doménami na stiahnutie obsahu so škodlivým kódom
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2024-44259: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)
SceneKit
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2024-44144: 냥냥
SceneKit
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-44218: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro
Shortcuts
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka so škodlivým kódom môže používať skratky na získanie prístupu k súborom s obmedzeným prístupom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2024-44269: anonymný výskumník
Siri
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam v systémových protokoloch
Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-44278: Kirin (@Pwnrin)
VoiceOver
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Útočník môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke
Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.
CVE-2024-44261: Braylon (@softwarescool)
WebKit
Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)
Ďalšie poďakovanie
Security
Poďakovanie za pomoc si zaslúžia Bing Shi, Wenchao Li a Xiaolong Bai zo spoločnosti Alibaba Group.
Spotlight
Poďakovanie za pomoc si zaslúži Paulo Henrique Batista Rosa de Castro (@paulohbrc).
WebKit
Poďakovanie za pomoc si zaslúži Eli Grey (eligrey.com).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.