Om sikkerhedsindholdet i iOS 17.5 og iPadOS 17.5

I dette dokument beskrives sikkerhedsindholdet i iOS 17.5 og iPadOS 17.5.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 17.5 og iPadOS 17.5

Udgivet 13. maj 2024

Apple Neural Engine

Fås til enheder med Apple Neural Engine: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (3. generation og nyere modeller)", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (8. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-27826: Minghao Lin og Ye Zhang (@VAR10CK) fra Baidu Security

Post tilføjet 29. juli 2024

AppleAVD

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Post opdateret 15. maj 2024

AppleMobileFileIntegrity

Effekt: En hacker kan muligvis få adgang til brugerdata

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

Effekt: En app kan muligvis afsløre kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27841: en anonym programmør

Core Data

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret godkendelse af miljøvariabler.

CVE-2024-27805: Kirin (@Pwnrin) og 小来来 (@Smi1eSEC)

Post tilføjet 10. juni 2024

CoreMedia

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27817: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab

Post tilføjet 10. juni 2024

CoreMedia

Effekt: Behandling af et arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2024-27831: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

Post tilføjet 10. juni 2024

Disk Images

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27832: en anonym programmør

Post tilføjet 10. juni 2024

Find My

Effekt: Et skadeligt program kan muligvis registrere en brugers aktuelle placering

Beskrivelse: Et problem med fortrolighed er løst ved at flytte følsomme data til et mere sikkert sted.

CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) og Shai Mishali (@freak4pc)

Foundation

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27801: CertiK SkyFall Team

Post tilføjet 10. juni 2024

ImageIO

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27836: Junsung Lee, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 10. juni 2024

IOSurface

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Post tilføjet 10. juni 2024

Kernel

Effekt: Et angreb kan muligvis forårsage en pludselig applukning eller kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27818: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab

Kernel

Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå beskyttelse af kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27840: en anonym programmør

Post tilføjet 10. juni 2024

Kernel

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2024-27815: en anonym programmør og Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Post tilføjet 10. juni 2024

Kernel

Effekt: En hacker i en privilegeret netværksposition kan muligvis efterligne netværkspakker

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-27823: Prof. Benny Pinkas fra Bar-Ilan University, prof. Amit Klein fra Hebrew University og EP

Post tilføjet 29. juli 2024

libiconv

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27811: Nick Wellnhofer

Post tilføjet 10. juni 2024

Libsystem

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et problem med tilladelser blev løst ved at fjerne sårbar kode og tilføje yderligere kontrol.

CVE-2023-42893: en anonym programmør

Mail

Effekt: En hacker med fysisk adgang kan muligvis lække loginoplysninger til Mail-konti

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2024-23251: Gil Pedersen

Post tilføjet 10. juni 2024

Mail

Effekt: En e-mail med skadeligt indhold kan muligvis starte FaceTime-opkald uden brugerens tilladelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Post tilføjet 10. juni 2024

Maps

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2024-27810: LFY@secsys fra Fudan University

MarketplaceKit

Tilgængelig til: iPhone XS og nyere

Effekt: En webside med skadeligt indhold kan muligvis distribuere et script, som sporer brugere på andre websider

Beskrivelse: Et anonymitetsproblem er løst ved at forbedre håndteringen af klient-id på alternative appmarkedspladser.

CVE-2024-27852: Talal Haj Bakry og Tommy Mysk fra Mysk Inc. (@mysk_co)

Messages

Effekt: Behandling af en besked med skadeligt indhold kan medføre et DoS-angreb

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-27800: Daniel Zajork og Joshua Zajork

Post tilføjet 10. juni 2024

Metal

Effekt: Behandling af et skadeligt arkiv kan føre til uventet appafslutning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm), der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 10. juni 2024

Metal

Effekt: En ekstern angriber kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-27857: Michael DePlante (@izobashi) fra Trend Micros Zero Day Initiative

Post tilføjet 10. juni 2024

Notes

Effekt: En hacker med fysisk adgang til en iOS-enhed kan muligvis få adgang til noter fra låseskærmen

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-27835: Andr.Ess

Notes

Effekt: En app kan muligvis få adgang til notebilag

Beskrivelse: Et anonymitetsproblem er løst via forbedret håndtering af midlertidige arkiver.

CVE-2024-27845: Adam Berry

Post tilføjet 10. juni 2024

RemoteViewServices

Effekt: En hacker kan muligvis få adgang til brugerdata

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2024-27816: Mickey Jin (@patch1t)

Screenshots

Effekt: En hacker med fysisk adgang kan muligvis få adgang til at dele elementer fra låseskærmen

Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.

CVE-2024-27803: en anonym programmør

Shortcuts

Effekt: En genvej kan føre til følsomme brugerdata uden tilladelse

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2024-27821: Kirin (@Pwnrin), zbleet og Csaba Fitzl (@theevilbit) fra Kandji

Shortcuts

Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27855: en anonym programmør

Post tilføjet 10. juni 2024

Siri

Effekt: En hacker med fysisk adgang kan muligvis få adgang til kontakter fra låseskærmen

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-27819: Srijan Poudel

Post tilføjet 10. juni 2024

Spotlight

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet blev løst ved forbedret rensning af miljøet.

CVE-2024-27806

Post tilføjet 10. juni 2024

StorageKit

Effekt: En skadelig app kan muligvis få adgang til rodrettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol af tilladelser.

CVE-2024-27848: Csaba Fitzl (@theevilbit) fra Kandji

Post tilføjet 10. juni 2024

Symptom Framework

Effekt: En app kan muligvis omgå logning af Rapport om app-anonymitet

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27807: Romy R.

Post tilføjet 10. juni 2024

Sync Services

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst ved forbedret kontrol

CVE-2024-27847: Mickey Jin (@patch1t)

Transparency

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst med en ny rettighed.

CVE-2024-27884: Mickey Jin (@patch1t)

Post tilføjet 29. juli 2024

Voice Control

Effekt: En hacker kan muligvis få adgang til hævede rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27796: ajajfxhj

WebKit

Effekt: En hacker med mulighed for at læse fra og skrive til hukommelsen kan muligvis omgå markørgodkendelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

WebKit Bugzilla: 272750

CVE-2024-27834: Manfred Paul (@_manfp), der arbejder med Trend Micros Zero Day Initiative

WebKit

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

WebKit Bugzilla: 262337

CVE-2024-27838: Emilio Cobos fra Mozilla

Post tilføjet 10. juni 2024

WebKit

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 268221

CVE-2024-27808: Lukas Bernhard fra CISPA Helmholtz Center for Information Security

Post tilføjet 10. juni 2024

WebKit

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet blev løst ved at forbedre algoritmen for støjinjektion.

WebKit Bugzilla: 270767

CVE-2024-27850: en anonym programmør

Post tilføjet 10. juni 2024

WebKit

Effekt: Behandling af skadeligt webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

WebKit Bugzilla: 271491

CVE-2024-27833: Manfred Paul (@_manfp) i samarbejde med Trend Micros Zero Day Initiative

Post tilføjet 10. juni 2024

WebKit

Effekt: Behandling af skadeligt webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedrede kontroller af grænser.

WebKit Bugzilla: 272106

CVE-2024-27851: Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute

Post tilføjet 10. juni 2024

WebKit Canvas

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet er løst via forbedret statusadministration.

WebKit Bugzilla: 271159

CVE-2024-27830: Joe Rutkowski (@Joe12387) fra Crawless og @abrahamjuliot

Post tilføjet 10. juni 2024

WebKit Web Inspector

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

WebKit Bugzilla: 270139

CVE-2024-27820: Jeff Johnson fra underpassapp.com

Post tilføjet 10. juni 2024

Yderligere anerkendelser

App Store

Vi vil gerne takke en anonym programmør for hjælpen.

AppleMobileFileIntegrity

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

Post tilføjet 10. juni 2024

CoreHAP

Vi vil gerne takke Adrian Cable for hjælpen.

Disk Images

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

Post tilføjet 10. juni 2024

Face ID

Vi vil gerne takke Lucas Monteiro, Daniel Monteiro og Felipe Monteiro for hjælpen.

HearingCore

Vi vil gerne takke en anonym programmør for hjælpen.

ImageIO

Vi vil gerne takke en anonym programmør for hjælpen.

Post tilføjet 10. juni 2024

Managed Configuration

Vi vil gerne takke 遥遥领先 (@晴天组织) for hjælpen.

ReplayKit

Vi vil gerne takke Thomas Zhao for hjælpen.

Post tilføjet 10. juni 2024

Safari Downloads

Vi vil gerne takke Arsenii Kostromin (0x3c3e) for hjælpen.

Siri

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College Of Technology Bhopal i Indien for hjælpen.

Post tilføjet 10. juni 2024

Status Bar

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 14. august 2024