关于 iPadOS  17.7.3 的安全性内容

这篇文稿介绍了 iPadOS 17.7.3 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。“Apple 安全性发布”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

iPadOS 17.7.3

FontParser

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：处理恶意制作的字体可能会导致进程内存泄漏

描述：已通过改进检查解决这个问题。

CVE-2024-54486：Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)

ImageIO

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：处理恶意制作的图像可能会导致进程内存泄露

描述：已通过改进检查解决这个问题。

CVE-2024-54500：Junsung Lee 与 Trend Micro Zero Day Initiative 合作发现

Kernel

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：攻击者或许能够创建可被写入的只读内存映射

描述：已通过实施额外的验证解决竞态条件问题。

CVE-2024-54494：sohybbyk

Kernel

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：App 或许能够泄露敏感内核状态

描述：已通过改进锁定解决竞态条件问题。

CVE-2024-54510：MIT CSAIL 的 Joseph Ravichandran (@0xjprx)

Kernel

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：App 或许能够造成系统意外终止或损坏内核内存

描述：已通过改进内存处理解决这个问题。

CVE-2024-44245：一位匿名研究人员

libarchive

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：处理恶意制作的文件可能会导致服务遭拒

描述：已通过改进内存处理解决这个问题。

CVE-2024-44201：Ben Roeder

libexpat

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：远程攻击者可能会导致 App 意外终止或任意代码执行

描述：这是开源代码中的一个漏洞，Apple 软件也在受影响的项目之列。这个 CVE-ID 由第三方分配。如需详细了解这个问题和 CVE-ID，请访问 cve.org。

CVE-2024-45490

libxpc

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：App 或许能够获取提升的权限

描述：已通过改进检查解决逻辑问题。

CVE-2024-44225：风沐云烟(@binary_fmyy)

Passwords

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：拥有特权网络地位的攻击者或许能够改变网络流量

描述：已通过在网络上发送信息时使用 HTTPS 解决这个问题。

CVE-2024-54492：Mysk Inc. (@mysk_co) 的 Talal Haj Bakry 和 Tommy Mysk

Safari

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：在启用“专用代理”的设备上，将网站添加到 Safari 浏览器阅读列表可能会显示网站的原始 IP 地址

描述：已通过改进 Safari 浏览器来源请求的路由解决这个问题。

CVE-2024-44246：Jacob Braun

SceneKit

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：处理恶意制作的文件可能会导致服务遭拒

描述：已通过改进检查解决这个问题。

CVE-2024-54501：Trend Micro Zero Day Initiative 的 Michael DePlante (@izobashi)

VoiceOver

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：能够实际操作 iPadOS 设备的攻击者或许能够从锁定屏幕查看通知内容

描述：已通过添加额外的逻辑解决这个问题。

CVE-2024-54485：来自印度 C-DAC Thiruvananthapuram 的 Abhay Kailasia (@abhay_kailasia)

WebKit

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：处理恶意制作的网页内容可能会导致进程意外崩溃

描述：已通过改进检查解决这个问题。

CVE-2024-54479：Seunghyun Lee

WebKit

适用于：12.9 英寸 iPad Pro（第 2 代）、10.5 英寸 iPad Pro 和 iPad（第 6 代）

影响：处理恶意制作的网页内容可能会导致内存损坏

描述：已通过改进内存处理解决类型混淆问题。

CVE-2024-54505：Gary Kwong

特别鸣谢

Proximity

由衷感谢 Junming C. (@Chapoly1305) 和乔治梅森大学的 Qiang Zeng 教授为我们提供的协助。