Az iOS 17.3 és az iPadOS 17.3 biztonsági változásjegyzéke

Ez a dokumentum az iOS 17.3 és az iPadOS 17.3 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 17.3 és iPadOS 17.3

Kiadási dátum: 2024. január 22.

Apple Neural Engine

Az Apple Neural Engine-jét tartalmazó készülékeken érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 3. generációs és újabb iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 8. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-23212: Ye Zhang (Baidu Security)

CoreCrypto

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: A támadó a magánkulcs nélkül is képes lehet visszafejteni a régi RSA PKCS#1 v1.5 által titkosított szövegeket

Leírás: A kriptográfiai függvények konstans idejű számításainak a javításával orvosoltuk egy időzítésalapú „oldalcsatornás” támadás lehetőségét.

CVE-2024-23218: Clemens Lang

Kernel

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-23208: fmyy (@binary_fmyy) és lime (TIANGONG Team, Legendsec, QI-ANXIN Group)

libxpc

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-23201: Koh M. Nakagawa (FFRI Security, Inc) és egy anonim kutató

Bejegyzés dátuma: 2024. március 7.

Mail Search

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-23207: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) és Ian de Marcellus

Notes

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy a zárolt Jegyzetek tartalma váratlanul feloldódott.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-23228: Harsh Tyagi

Bejegyzés hozzáadva 2024. április 24-én.

NSSpellChecker

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-23223: Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab)

Power Manager

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások sérülést tudtak okozni a koprocesszoros memóriában.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Bejegyzés hozzáadva 2024. április 24-én.

Reset Services

A következőkhöz érhető el: iPhone XS és újabb modellek

Érintett terület: A Lopott eszközökre vonatkozó védelem funkció váratlanul letiltásra kerülhetett

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2024-23219: Peter Watthey és Christian Scalese

Safari

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: A felhasználó privát böngészési előzményei láthatók lehettek a Beállításokban

Leírás: A felhasználói beállítások hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-23211: Mark Bowers

Shortcuts

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.

Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.

CVE-2024-23203: anonim kutató

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egy alkalmazás potenciálisan meg tudott kerülni bizonyos adatvédelmi beállításokat

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egy alkalmazás képes lehet megtekinteni a felhasználó telefonszámát a rendszer naplóiban

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-23210: Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab)

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt lemásolni a felhasználót

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

WebKit Bugzilla: 262699

CVE-2024-23206: anonim kutató

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 266619

CVE-2024-23213: Wangtaiyu (Zhongfu info)

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

WebKit Bugzilla: 265129

CVE-2024-23214: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute)

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud egy jelentésről, amely szerint lehet, hogy ezt a problémát kihasználták.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy típustévesztési hibát.

WebKit Bugzilla: 267134

CVE-2024-23222

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az ártó szándékkal létrehozott webhelyek váratlanul eltérő forrású viselkedést tudtak okozni.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

WebKit Bugzilla: 265812

CVE-2024-23271: James Lee (@Windowsrcer)

Bejegyzés hozzáadva 2024. április 24-én.

További köszönetnyilvánítás

NetworkExtension

Köszönjük Nils Rollshausen segítségét.

Bejegyzés hozzáadva 2024. április 24-én.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: