iOS 16.7.9 ve iPadOS 16.7.9'un güvenlik içeriği hakkında

Bu belgede iOS 16.7.9 ve iPadOS 16.7.9'un güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Yeni sürümler Güvenlik amaçlı Apple yazılım sürümleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği

iOS 16.7.9 ve iPadOS 16.7.9

CoreGraphics

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-40799: D4m0n

CoreMedia

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir video dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında yazma sorunu giderildi.

CVE-2024-27873: CrowdStrike Counter Adversary Operations'tan Amir Bazine ve Karsten König

ImageIO

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Bu güvenlik açığı açık kaynak kodda bulunur ve Apple Yazılımı, etkilenen projeler arasındadır. CVE kimliği, bir üçüncü tarafça atanmıştır. Sorun ve CVE kimliği hakkında daha fazla bilgiye cve.org adresinden ulaşabilirsiniz.

CVE-2023-6277

CVE-2023-52356

ImageIO

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2024-40806: Yisumi

ImageIO

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Kötü amaçlarla oluşturulmuş bir dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2024-40784: Gandalf4a ve Trend Micro Zero Day Initiative ile çalışan Junsung Lee

Kernel

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Yerel bir saldırgan, sistemin beklenmedik şekilde kapanmasına neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2024-40788: Zhejiang Üniversitesi'nden Minghao Lin ve Jiaxun Zhu

NetworkExtension

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Özel dolaşma, bazı dolaşma geçmişi verilerini sızdırabilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-40796: Adam M.

Photos Storage

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Gizli Fotoğraflar Albümü'ndeki fotoğraflar kimlik doğrulama olmadan görüntülenebilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2024-40778: Mateen Alinaghi

Security

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Bir uygulama Safari'nin dolaşma geçmişini okuyabilir

Açıklama: Hassas bilgileri kaldırma işlemi iyileştirilerek bu sorun giderildi.

CVE-2024-40798: Adam M.

Shortcuts

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Bir kestirme, belirli eylemler gerçekleştirilirken kullanıcıya sormadan hassas verileri kullanabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-40833: anonim bir araştırmacı

CVE-2024-40835: anonim bir araştırmacı

CVE-2024-40836: anonim bir araştırmacı

Shortcuts

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Bir uygulama, hassas kullanıcı verilerine erişebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Bir kestirme internet izin gereksinimlerini atlayabilir

Açıklama: Denetimler iyileştirilerek bir mantık sorunu giderildi.

CVE-2024-40809: anonim bir araştırmacı

CVE-2024-40812: anonim bir araştırmacı

Siri

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Fiziksel erişimi olan saldırgan, Siri'yi kullanarak hassas kullanıcı verilerine erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-40818: Bistrit Dahal ve Srijan Poudel

Siri

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Bir saldırgan hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Bu sorun, durum yönetimi iyileştirilerek giderildi.

CVE-2024-40786: Bistrit Dahal

Siri

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Aygıta fiziksel erişimi olan bir saldırgan, kilitli ekrandan kişilere erişebilir

Açıklama: Kilitli aygıtta sunulan seçenekler sınırlandırılarak bu sorun giderildi.

CVE-2024-40822: Srijan Poudel

Siri

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Koruma alanı içindeki bir uygulama, sistem günlüklerindeki hassas kullanıcı verilerine erişebilir

Açıklama: Günlük girişleri için özel veri düzeltme işlemi iyileştirilerek bir gizlilik sorunu giderildi.

CVE-2024-44205: NorthSea'den Jiahui Hu (梅零落) ve Meng Zhang (鲸落)

VoiceOver

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Saldırgan kilitli ekrandan sınırlanmış içerikleri görüntüleyebilir

Açıklama: Denetimler iyileştirilerek sorun giderildi.

CVE-2024-40829: Hindistan'daki Bhopal Lakshmi Narain College of Technology'den Abhay Kailasia (@abhay_kailasia)

WebKit

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek bir sınırların dışında erişim sorunu giderildi.

CVE-2024-40789: Trend Micro Zero Day Initiative ile çalışan KAIST Hacking Lab'den Seunghyun Lee (@0x10n)

WebKit

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2024-40776: Ant Group Light-Year Security Lab'den Huang Xilin

CVE-2024-40782: Maksymilian Motyl

WebKit

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlemin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2024-40779: Ant Group Light-Year Security Lab'den Huang Xilin

CVE-2024-40780: Ant Group Light-Year Security Lab'den Huang Xilin

WebKit

İlgili modeller: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. nesil), iPad Pro 9,7 inç ve iPad Pro 12,9 inç (1. nesil)

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası betik saldırısına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

Ek teşekkür listesi

Shortcuts

Anonim bir araştırmacıya yardımı için teşekkür ederiz.