Obsah zabezpečenia v systéme iPadOS 17.7.3

V tomto dokumente sa opisuje obsah zabezpečenia v systéme iPadOS 17.7.3.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iPadOS 17.7.3

FontParser

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54486: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54500: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Kernel

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Útočník môže byť schopný vytvoriť mapovanie pamäte len na čítanie, ktoré umožní zapisovanie

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-54494: sohybbyk

Kernel

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

Kernel

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44245: anonymný výskumník

libarchive

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44201: Ben Roeder

libexpat

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Ide o riziko v otvorenom kóde a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-45490

libxpc

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dosah: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passwords

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Útočník s oprávneniami v sieti môže byť schopný upravovať sieťové prenosy

Popis: Tento problém bol vyriešený použitím zabezpečenia HTTPS pri odosielaní informácií v sieti.

CVE-2024-54492: Talal Haj Bakry a Tommy Mysk z tímu Mysk Inc. (@mysk_co)

Safari

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Pridanie webovej stránky do zoznamu Na prečítanie v Safari na zariadení so zapnutým Súkromným prenosom môže odhaliť pôvodnú IP adresu webovej stránky

Popis: Problém bol vyriešený vylepšením smerovania požiadaviek pochádzajúcich zo Safari.

CVE-2024-44246: Jacob Braun

SceneKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dosah: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54501: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

VoiceOver

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Útočník s fyzickým prístupom k zariadeniu so systémom iPadOS môže byť schopný zobraziť obsah oznámení zo zamknutej obrazovky

Popis: Problém bol vyriešený pridaním ďalšej logiky.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54479: Seunghyun Lee

WebKit

Dostupné pre: 12,9-palcový iPad Pro (2. generácia), 10,5-palcový iPad Pro a iPad (6. generácia)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54505: Gary Kwong

Ďalšie poďakovanie

Proximity

Poďakovanie za pomoc si zaslúžia Junming C. (@Chapoly1305) a Prof. Qiang Zeng z Univerzity Georga Masona.