Despre conținutul de securitate din iOS 17.5 și iPadOS 17.5

Acest document descrie conținutul de securitate din iOS 17.5 și din iPadOS 17.5.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

iOS 17.5 și iPadOS 17.5

Lansare: 13 mai 2024

Apple Neural Engine

Disponibilitate pentru dispozitivele cu Apple Neural Engine: iPhone XS și modele ulterioare, iPad Pro 13-inch, iPad Pro de 12,9 inchi, a 3-a generație și și modele ulterioare, iPad Pro de 11 inchi, prima generație și și modele ulterioare, iPad Air, a 3-a generație și și modele ulterioare, iPad, a 8-a generație și și modele ulterioare și iPad mini, a 5-a generație și și modele ulterioare

Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27826: Minghao Lin și Ye Zhang (@VAR10CK) din cadrul Baidu Security

Intrare adăugată pe 29 iulie 2024

AppleAVD

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Actualizare intrare: 15 mai 2024

AppleMobileFileIntegrity

Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27841: un cercetător anonim

Core Data

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă prin îmbunătățirea validării variabilelor de mediu.

CVE-2024-27805: Kirin (@Pwnrin) și 小来来 (@Smi1eSEC)

Adăugare intrare: luni, 10 iunie 2024

CoreMedia

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Adăugare intrare: luni, 10 iunie 2024

CoreMedia

Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2024-27831: Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations

Adăugare intrare: luni, 10 iunie 2024

Disk Images

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27832: un cercetător anonim

Adăugare intrare: luni, 10 iunie 2024

Find My

Impact: o aplicație creată cu rea intenție ar putea determina locația curentă a unui utilizator

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație mai securizată.

CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) și Shai Mishali (@freak4pc)

Foundation

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27801: CertiK SkyFall Team

Adăugare intrare: luni, 10 iunie 2024

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27836: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative

Adăugare intrare: luni, 10 iunie 2024

IOSurface

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.

Adăugare intrare: luni, 10 iunie 2024

Kernel

Impact: un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27818: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

Kernel

Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite protecțiile memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27840: un cercetător anonim

Adăugare intrare: luni, 10 iunie 2024

Kernel

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2024-27815: un cercetător anonim și Joseph Ravichandran (@0xjprx) de la MIT CSAIL

Adăugare intrare: luni, 10 iunie 2024

Kernel

Impact: este posibil ca un atacator aflat pe o poziție privilegiată în rețea să poată falsifica pachete de rețea

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27823: Prof. Benny Pinkas din cadrul Universității Bar-Ilan, Prof. Amit Klein din cadrul Universității Ebraice și EP

Intrare adăugată pe 29 iulie 2024

libiconv

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27811: Nick Wellnhofer

Adăugare intrare: luni, 10 iunie 2024

Libsystem

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.

CVE-2023-42893: un cercetător anonim

Mail

Impact: Un atacator cu acces fizic ar putea reuși să divulge credențialele contului de e-mail.

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2024-23251: Gil Pedersen

Adăugare intrare: luni, 10 iunie 2024

Mail

Impact: Un email creat malițios ar putea iniția apeluri FaceTime fără autorizarea utilizatorului.

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Adăugare intrare: luni, 10 iunie 2024

Maps

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2024-27810: LFY@secsys de la Fudan University

MarketplaceKit

Disponibilitate pentru: iPhone XS și modele ulterioare

Impact: o pagină web creată cu rea intenție ar putea distribui un script care urmărește utilizatorii pe alte pagini web

Descriere: o problemă de confidențialitate a fost rezolvată prin îmbunătățirea gestionării ID-ului de client pentru piețele alternative de aplicații.

CVE-2024-27852: Talal Haj Bakry și Tommy Mysk de la Mysk Inc. (@mysk_co)

Messages

Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-27800: Daniel Zajork și Joshua Zajork

Adăugare intrare: luni, 10 iunie 2024

Metal

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) în colaborare cu Trend Micro Zero Day Initiative

Adăugare intrare: luni, 10 iunie 2024

Metal

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-27857: Michael DePlante (@izobashi) de la Trend Micro Zero Day Initiative

Adăugare intrare: luni, 10 iunie 2024

Notes

Impact: un atacator cu acces fizic la un dispozitiv iOS ar putea accesa notițe din ecranul de blocare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-27835: Andr.Ess

Notes

Impact: o aplicație poate accesa atașamente din aplicația Notițe

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2024-27845: Adam Berry

Adăugare intrare: luni, 10 iunie 2024

RemoteViewServices

Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-27816: Mickey Jin (@patch1t)

Screenshots

Impact: un atacator cu acces fizic ar putea partaja elemente din ecranul de blocare

Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.

CVE-2024-27803: un cercetător anonim

Shortcuts

Impact: o scurtătură poate fi capabilă să trimită date sensibile despre utilizator fără acordul acestuia

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2024-27821: Kirin (@Pwnrin), zbleet și Csaba Fitzl (@theevilbit) de la Kandji

Shortcuts

Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27855: un cercetător anonim

Adăugare intrare: luni, 10 iunie 2024

Siri

Impact: un atacator cu acces fizic ar putea accesa contacte din ecranul de blocare

Descriere: problema a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.

CVE-2024-27819: Srijan Poudel

Adăugare intrare: luni, 10 iunie 2024

Spotlight

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.

CVE-2024-27806

Adăugare intrare: luni, 10 iunie 2024

StorageKit

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite de permisiuni.

CVE-2024-27848: Csaba Fitzl (@theevilbit) de la Kandji

Adăugare intrare: luni, 10 iunie 2024

Symptom Framework

Impact: O aplicație ar putea reuși să ocolească înregistrarea rapoartelor de confidențialitate a aplicațiilor.

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27807: Romy R.

Adăugare intrare: luni, 10 iunie 2024

Sync Services

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite

CVE-2024-27847: Mickey Jin (@patch1t)

Transparency

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin noi drepturi.

CVE-2024-27884: Mickey Jin (@patch1t)

Intrare adăugată pe 29 iulie 2024

Voice Control

Impact: un atacator ar putea să ridice nivelul privilegiilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27796: ajajfxhj

WebKit

Impact: un atacator cu capacitate arbitrară de citire și scriere poate reuși să evite autentificarea pointerilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 272750

CVE-2024-27834: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative

WebKit

Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului

Descriere: Problema a fost rezolvată prin adăugarea unei logici suplimentare.

WebKit Bugzilla: 262337

CVE-2024-27838: Emilio Cobos de la Mozilla

Adăugare intrare: luni, 10 iunie 2024

WebKit

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 268221

CVE-2024-27808: Lukas Bernhard de la CISPA Helmholtz Center for Information Security

Adăugare intrare: luni, 10 iunie 2024

WebKit

Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului

Descriere: Această problemă a fost rezolvată prin îmbunătățiri aduse algoritmului de injectare a zgomotului.

WebKit Bugzilla: 270767

CVE-2024-27850: un cercetător anonim

Adăugare intrare: luni, 10 iunie 2024

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

WebKit Bugzilla: 271491

CVE-2024-27833: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative

Adăugare intrare: luni, 10 iunie 2024

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

WebKit Bugzilla: 272106

CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)

Adăugare intrare: luni, 10 iunie 2024

WebKit Canvas

Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 271159

CVE-2024-27830: Joe Rutkowski (@Joe12387) de la Crawless și @abrahamjuliot

Adăugare intrare: luni, 10 iunie 2024

WebKit Web Inspector

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 270139

CVE-2024-27820: Jeff Johnson (underpassapp.com)

Adăugare intrare: luni, 10 iunie 2024

Alte mențiuni

App Store

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

AppleMobileFileIntegrity

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Adăugare intrare: luni, 10 iunie 2024

CoreHAP

Dorim să îi mulțumim lui Adrian Cable pentru asistența acordată.

Disk Images

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Adăugare intrare: luni, 10 iunie 2024

Face ID

Dorim să le mulțumim lui Lucas Monteiro, Daniel Monteiro și Felipe Monteiro pentru asistența acordată.

HearingCore

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

ImageIO

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Adăugare intrare: luni, 10 iunie 2024

Managed Configuration

Dorim să îi mulțumim lui 遥遥领先 (@晴天组织) pentru asistența acordată.

ReplayKit

Dorim să îi mulțumim lui Thomas Zhao pentru asistența acordată.

Adăugare intrare: luni, 10 iunie 2024

Safari Downloads

Dorim să-i mulțumim lui Arsenii Kostromin (0x3c3e) pentru asistența acordată.

Siri

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College Of Technology Bhopal India pentru asistența acordată.

Adăugare intrare: luni, 10 iunie 2024

Status Bar

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 14 august 2024