Informace o bezpečnostním obsahu iOS 17.7.1 a iPadOS 17.7.1
Tento dokument popisuje bezpečnostní obsah iOS 17.7.1 a iPadOS 17.7.1.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
iOS 17.7.1 a iPadOS 17.7.1
Vydáno 28. října 2024
Accessibility
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Útočníkovi s fyzickým přístupem k zařízení se může podařit zobrazit citlivé informace o uživatelích.
Popis: Problém byl vyřešen vylepšením ověřování.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
AppleAVD
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Parsování škodlivého souboru videa může vést k nečekanému ukončení systému.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2024-44232: Ivan Fratric z týmu Google Project Zero
CVE-2024-44233: Ivan Fratric z týmu Google Project Zero
CVE-2024-44234: Ivan Fratric z týmu Google Project Zero
Záznam přidán 1. listopadu 2024
CoreText
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-44240: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
CVE-2024-44302: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
Foundation
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Parsování souboru může vést k odhalení uživatelských informací.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2024-44282: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
ImageIO
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování obrázku může vést k odhalení procesní paměti.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2024-44215: Junsung Lee ve spolupráci se Zero Day Initiative společnosti Trend Micro
ImageIO
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování škodlivé zprávy může vést k odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2024-44297: Jex Amro
Kernel
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém se zveřejněním informací byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Obnovení škodlivého souboru zálohy může vést k úpravě chráněných systémových souborů.
Popis: Problém byl vyřešen vylepšením zpracování symbolických odkazů.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Obnovení škodlivého souboru zálohy může vést k úpravě chráněných systémových souborů.
Popis: Problém v logice byl vyřešen vylepšením zpracování souborů.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Safari
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Škodlivý webový obsah může porušit zásady sandboxování rámců iframe.
Popis: Problém ve zpracování vlastních schémat URL byl vyřešen vylepšením ověřování vstupů.
CVE-2024-44155: Narendra Bhati, manažer týmu kybernetické bezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)
Safari Downloads
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Útočníkovi se může podařit zneužít vztah důvěryhodnosti ke stažení škodlivého obsahu.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2024-44259: Narendra Bhati, manažer kyberbezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)
SceneKit
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování škodlivého souboru může vést k neočekávanému ukončení aplikace.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.
CVE-2024-44144: 냥냥
SceneKit
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Zpracování škodlivého souboru může vést k poškození haldy.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2024-44218: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
Shortcuts
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Škodlivé aplikaci se může podařit získat pomocí zkratek přístup k omezeným souborům.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2024-44269: Kirin (@Pwnrin) a anonymní výzkumník
Záznam aktualizován 11. prosince 2024
Siri
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Aplikaci v sandboxu se může podařit číst v systémových protokolech citlivé údaje o uživateli.
Popis: Problém se zveřejněním informací byl vyřešen vylepšením redigování soukromých dat pro záznamy protokolu.
CVE-2024-44278: Kirin (@Pwnrin)
VoiceOver
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Útočníkovi se může podařit zobrazit ze zamknuté obrazovky omezený obsah.
Popis: Tento problém byl vyřešen omezením možností nabízených na zamčeném zařízení.
CVE-2024-44261: Braylon (@softwarescool)
WebKit
K dispozici pro: iPhone XS a novější, 13palcový iPad Pro, 12,9palcový iPad Pro 2. generace a novější, 10,5placový iPad Pro, 11palcový iPad Pro 1. generace a novější, iPad Air 3. generace a novější, iPad 6. generace a novější a iPad mini 5. generace a novější
Dopad: Kvůli zpracování škodlivého webového obsahu nemusí být vynucena zásada zabezpečení obsahu.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, manažer kyberbezpečnosti ve společnosti Suma Soft Pvt. Ltd, Pune (Indie)
Další poděkování
Security
Poděkování za pomoc zaslouží Bing Shi, Wenchao Li a Xiaolong Bai z Alibaba Group a Luyi Xing z Indiana University Bloomington.
Záznam aktualizován 11. prosince 2024
Spotlight
Poděkování za pomoc zaslouží Paulo Henrique Batista Rosa de Castro (@paulohbrc).
WebKit
Poděkování za pomoc zaslouží Eli Grey (eligrey.com).
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.