Informace o bezpečnostním obsahu iOS 17.7.1 a iPadOS 17.7.1

Tento dokument popisuje bezpečnostní obsah iOS 17.7.1 a iPadOS 17.7.1.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

Informace o bezpečnostním obsahu iOS 17.7.1 a iPadOS 17.7.1

Accessibility

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zobrazit citlivé informace o uživatelích.

Popis: Problém byl vyřešen vylepšením ověřování.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Parsování škodlivého souboru videa může vést k nečekanému ukončení systému.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2024-44232: Ivan Fratric z týmu Google Project Zero

CVE-2024-44233: Ivan Fratric z týmu Google Project Zero

CVE-2024-44234: Ivan Fratric z týmu Google Project Zero

CoreText

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44240: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

Foundation

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Parsování souboru může vést k odhalení uživatelských informací.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2024-44282: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro

ImageIO

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování obrázku může vést k odhalení procesní paměti.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-44215: Junsung Lee ve spolupráci se Zero Day Initiative společnosti Trend Micro

ImageIO

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivé zprávy může vést k odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2024-44297: Jex Amro

Kernel

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém se zveřejněním informací byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Obnovení škodlivého souboru zálohy může vést k úpravě chráněných systémových souborů.

Popis: Problém byl vyřešen vylepšením zpracování symbolických odkazů.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Obnovení škodlivého souboru zálohy může vést k úpravě chráněných systémových souborů.

Popis: Problém v logice byl vyřešen vylepšením zpracování souborů.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivý webový obsah může porušit zásady sandboxování rámců iframe.

Popis: Problém ve zpracování vlastních schémat URL byl vyřešen vylepšením ověřování vstupů.

CVE-2024-44155: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Safari Downloads

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi se může podařit zneužít vztah důvěryhodnosti ke stažení škodlivého obsahu.

Popis: Problém byl vyřešen vylepšením správy stavů.

CVE-2024-44259: Narendra Bhati, manažer kyberbezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

SceneKit

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.

CVE-2024-44144: 냥냥

SceneKit

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Zpracování škodlivého souboru může vést k poškození haldy.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2024-44218: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro

Shortcuts

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Škodlivé aplikaci se může podařit získat pomocí zkratek přístup k omezeným souborům.

Popis: Problém v logice byl vyřešen vylepšením kontrol.

CVE-2024-44269: anonymní výzkumník

Siri

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Aplikaci v sandboxu se může podařit číst v systémových protokolech citlivé údaje o uživateli.

Popis: Problém se zveřejněním informací byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Útočníkovi se může podařit zobrazit ze zamknuté obrazovky omezený obsah.

Popis: Tento problém byl vyřešen omezením možností nabízených na zamčeném zařízení.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější

Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.

Popis: Problém byl vyřešen vylepšením kontroly.

CVE-2024-44296: Narendra Bhati, manažer kyberbezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)

Další poděkování

Security

Poděkování za pomoc zaslouží Bing Shi, Wenchao Li a Xiaolong Bai ze skupiny Alibaba Group.

Spotlight

Poděkování za pomoc zaslouží Paulo Henrique Batista Rosa de Castro (@paulohbrc).

WebKit

Poděkování za pomoc zaslouží Eli Grey (eligrey.com).