Tietoja iOS 17.6:n ja iPadOS 17.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 17.6:n ja iPadOS 17.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

iOS 17.6 ja iPadOS 17.6

Julkaistu 29.7.2024

AppleMobileFileIntegrity

Saatavuus: iPhone XS ja uudemmat, iPad Pro (13 tuumaa), iPad Pro (12,9 tuumaa, 2. sukupolvi ja uudemmat), iPad Pro (10,5 tuumaa), iPad Pro (11 tuumaa, 1. sukupolvi ja uudemmat), iPad Air (3. sukupolvi ja uudemmat), iPad (6. sukupolvi ja uudemmat) ja iPad mini (5. sukupolvi ja uudemmat)

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40799: D4m0n

CoreMedia

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-27873: Amir Bazine ja Karsten König (CrowdStrike Counter Adversary Operations)

dyld

Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-40815: w0wbox

Family Sharing

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2024-40795: Csaba Fitzl (@theevilbit, Kandji)

ImageIO

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40806: Yisumi

ImageIO

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40777: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen sekä Amir Bazinen ja Karsten Königin (CrowdStrike Counter Adversary Operations) kanssa

ImageIO

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40784: Junsung Lee yhteistyössä Trend Micro Zero Day Initiativen ja Gandalf4an kanssa

Kernel

Vaikutus: paikallinen hyökkääjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-40788: Minghao Lin ja Jiaxun Zhu (Zhejiang University)

libxpc

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40805

Phone

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: Lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40813: Jacob Braun

Photos Storage

Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-40778: Mateen Alinaghi

Sandbox

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40824: Wojciech Regula (SecuRing, wojciechregula.blog) ja Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)

Sandbox

Vaikutus: appi saattoi pystyä käyttämään suojattuja käyttäjätietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-27871: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit, Kandji) ja Zhongquan Li (@Guluisacat, JingDongin Dawn Security Lab)

Shortcuts

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-40835: nimetön tutkija

CVE-2024-40836: nimetön tutkija

Shortcuts

Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-40809: nimetön tutkija

CVE-2024-40812: nimetön tutkija

Shortcuts

Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2024-40787: nimetön tutkija

Shortcuts

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Vaikutus: hyökkääjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40786: Bistrit Dahal

Siri

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-40818: Bistrit Dahal ja Srijan Poudel

Siri

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä käyttämään yhteystietoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-40822: Srijan Poudel

Siri

Vaikutus: eristetty appi saattoi pystyä käyttämään järjestelmälokeissa olevia arkaluontoisia käyttäjätietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-44205: Jiahui Hu (梅零落) ja Meng Zhang (鲸落) (NorthSea)

Kohta lisätty 15.10.2024

VoiceOver

Vaikutus: hyökkääjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India)

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 273176

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit Bugzilla: 268770

CVE-2024-40782: Maksymilian Motyl

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

WebKit Bugzilla: 275431

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit Bugzilla: 275273

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab) yhdessä Trend Micro Zero Day Initiativen kanssa

WebKit

Vaikutus: yksityisen selauksen välilehtiä voitiin käyttää ilman todennusta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 275272

CVE-2024-40794: Matthew Butler

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 276097

CVE-2024-44185: Gary Kwong

Kohta lisätty 15.10.2024

WebKit

Vaikutus: käyttäjä saattoi pystyä ohittamaan tiettyjä verkkosisällön rajoituksia.

Kuvaus: URL-protokollien käsittelyyn liittyvä ongelma on ratkaistu parantamalla logiikkaa.

WebKit Bugzilla: 280765

CVE-2024-44206: Andreas Jaegersberger ja Ro Achterberg

Kohta lisätty 15.10.2024

WebKit

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

WebKit Bugzilla: 274165

CVE-2024-4558

Kiitokset

AirDrop

Haluamme kiittää Linwziä (DEVCORE) hänen avustaan.

Find My

Haluamme kiittää Andrew Brunsia, Bret Palssonia, Phil Purviancea ja Shawn Cohenia heidän avustaan.

Kohta lisätty 15.10.2024

Settings

Haluamme kiittää Joshua Thomasua hänen avustaan.

Shortcuts

Haluamme kiittää avusta nimetöntä tutkijaa.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 22. lokakuuta 2024