Az iOS 17.3 és az iPadOS 17.3 biztonsági változásjegyzéke
Ez a dokumentum az iOS 17.3 és az iPadOS 17.3 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 17.3 és iPadOS 17.3
Kiadási dátum: 2024. január 22.
Apple Neural Engine
Az Apple Neural Engine-jét tartalmazó készülékeken érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 8. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-23212: Ye Zhang (Baidu Security)
CoreCrypto
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: A támadó a magánkulcs nélkül is képes lehet visszafejteni a régi RSA PKCS#1 v1.5 által titkosított szövegeket
Leírás: A kriptográfiai függvények konstans idejű számításainak a javításával orvosoltuk egy időzítésalapú „oldalcsatornás” támadás lehetőségét.
CVE-2024-23218: Clemens Lang
Kernel
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-23208: fmyy (@binary_fmyy) és lime (TIANGONG Team, Legendsec, QI-ANXIN Group)
libxpc
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.
CVE-2024-23201: Koh M. Nakagawa (FFRI Security, Inc) és egy anonim kutató
Bejegyzés dátuma: 2024. március 7.
Mail Search
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-23207: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) és Ian de Marcellus
Notes
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Előfordult, hogy a zárolt Jegyzetek tartalma váratlanul feloldódott.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-23228: Harsh Tyagi
Bejegyzés hozzáadva 2024. április 24-én.
NSSpellChecker
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2024-23223: Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab)
Power Manager
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások sérülést tudtak okozni a koprocesszoros memóriában.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27791: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)
Bejegyzés hozzáadva 2024. április 24-én.
Reset Services
A következőkhöz érhető el: iPhone XS és újabb modellek
Érintett terület: A Lopott eszközökre vonatkozó védelem funkció váratlanul letiltásra kerülhetett
Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.
CVE-2024-23219: Peter Watthey és Christian Scalese
Safari
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: A felhasználó privát böngészési előzményei láthatók lehettek a Beállításokban
Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2024-23211: Mark Bowers
Shortcuts
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2024-23203: anonim kutató
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
Shortcuts
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.
CVE-2024-23217: Kirin (@Pwnrin)
TCC
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.
CVE-2024-23215: Zhongquan Li (@Guluisacat)
Time Zone
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egy alkalmazás képes lehet megtekinteni a felhasználó telefonszámát a rendszer naplóiban
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-23210: Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab)
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt lemásolni a felhasználót
Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.
WebKit Bugzilla: 262699
CVE-2024-23206: anonim kutató
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 266619
CVE-2024-23213: Wangtaiyu (Zhongfu info)
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
WebKit Bugzilla: 265129
CVE-2024-23214: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute)
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud egy jelentésről, amely szerint lehet, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 267134
CVE-2024-23222
WebKit
A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini
Érintett terület: Az ártó szándékkal létrehozott webhelyek váratlanul eltérő forrású viselkedést tudtak okozni.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 265812
CVE-2024-23271: James Lee (@Windowsrcer)
Bejegyzés hozzáadva 2024. április 24-én.
További köszönetnyilvánítás
NetworkExtension
Köszönjük Nils Rollshausen segítségét.
Bejegyzés hozzáadva 2024. április 24-én.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.