Проблеми системи безпеки, які усунено в оновленнях iOS 17.7 та iPadOS 17.7

У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 17.7 та iPadOS 17.7.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 17.7 та iPadOS 17.7

Accessibility

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із фізичним доступом до заблокованого пристрою може використовувати функцію «Керування пристроями поблизу» за допомогою функцій доступності.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44171: Jake Derouin

ARKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44126: Holger Fuhrmannek

Compression

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: розпакування шкідливого архіву може дозволити зловмиснику запис довільних файлів.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом до файлів вирішено завдяки поліпшенню перевірки вводу.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-27880: Junsung Lee

ImageIO

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2024-44176: користувач dw0r із ZeroPointer Lab, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, анонімний дослідник

IOSurfaceAccelerator

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-44169: Antonio Zekić

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: мережевий трафік може виходити за межі тунелю VPN.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-44165: Andrew Lytvynov

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримати несанкціонований доступ до Bluetooth.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) і Mathy Vanhoef

Mail Accounts

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-44183: Olivier Levon

Safari Private Browsing

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: доступ до вкладок, відкритих у режимі «Приватний перегляд», може бути здійснено без автентифікації.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44127: Anamika Adhikari

Shortcuts

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: швидка команда могла видавати конфіденційні дані користувача без його згоди.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-44158: користувач Kirin (@Pwnrin)

Shortcuts

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може переглядати дані користувача, що відображаються у Швидких командах.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2024-40844: користувачі Kirin (@Pwnrin) і luckyu (@uuulucky) з NorthSea

Sync Services

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може обходити параметри приватності.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-44164: Mickey Jin (@patch1t)

Transparency

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник може спричиняти несподіване завершення роботи програми.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-27879: Justin Cohen