Om säkerhetsinnehållet i iOS 16.7.6 och iPadOS 16.7.6
I det här dokumentet beskrivs säkerhetsinnehållet i iOS 16.7.6 och iPadOS 16.7.6.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
iOS 16.7.6 och iPadOS 16.7.6
Släpptes 5 mars 2024
Accessibility
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app kan förfalska systemnotiser och användargränssnitt
Beskrivning: Problemet åtgärdades med ytterligare behörighetskontroller.
CVE-2024-23262: Guilherme Rambo på Best Buddy Apps (rambo.codes)
Lades till 7 mars 2024
CoreCrypto
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En angripare kan dekryptera äldre RSA PKCS#1 v1.5-kodtexter utan tillgång till den privata nyckeln
Beskrivning: Ett problem med en timingsidokanal åtgärdades med förbättringar av kontinuerlig tidsberäkning av kryptografiska funktioner.
CVE-2024-23218: Clemens Lang
Lades till 7 mars 2024
ImageIO
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: Bearbetning av en bildfil kan leda till körning av opålitlig kod
Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2024-23286: Junsung Lee i samarbete med Trend Micro Zero Day Initiative, Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) och Lyutoon and Mr.R
Lades till 7 mars 2024, uppdaterades 29 maj 2024
ImageIO
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: Bearbetning av en bild kan leda till spridning av processminne
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-23257: Junsung Lee i samarbete med Trend Micro Zero Day Initiative
Lades till 7 mars 2024
Kernel
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En angripare med opålitlig läs- och skrivkapacitet till kernel kan kringgå kernelns minnesskydd. Apple känner till en rapport om att det här problemet kan ha utnyttjats.
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2024-23225
Kernel
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2024-23235
Lades till 7 mars 2024
Kernel
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2024-23265: Xinru Chi på Pangu Lab
Lades till 7 mars 2024
libxpc
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23278: En anonym forskare
Lades till 7 mars 2024
MediaRemote
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.
CVE-2023-28826: Meng Zhang (鲸落) från NorthSea
Lades till 7 mars 2024
Metal
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbete med Trend Micro Zero Day Initiative
Lades till 7 mars 2024
Notes
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2024-23283
Lades till 7 mars 2024
Safari
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23259: Lyra Rebane (rebane2001)
Lades till 7 mars 2024
Share Sheet
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.
CVE-2024-23231: Kirin (@Pwnrin) och luckyu (@uuulucky)
Lades till 7 mars 2024
Shortcuts
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren
Beskrivning: Problemet har åtgärdats med ytterligare behörighetskontroller.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
CVE-2024-23203: En anonym forskare
Lades till 7 mars 2024
Siri
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En person med fysisk åtkomst till en enhet kan använda Siri för att få åtkomst till information om en privat kalender
Beskrivning: Ett problem med låsskärmen åtgärdades med förbättrad tillståndshantering.
CVE-2024-23289: Lewis Hardy
Lades till 7 mars 2024
UIKit
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: En app kan bryta sig ut från sin sandlåda
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2024-23246: Deutsche Telekom Security GmbH sponsrat av Bundesamt für Sicherheit in der Informationstechnik
Lades till 7 mars 2024
WebKit
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber och Marco Squarcina
Lades till 7 mars 2024
WebKit
Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen
Effekt: Bearbetning av skadligt webbinnehåll kan förhindra att policyn för innehållssäkerhet tillämpas
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Lades till 7 mars 2024
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.