Om sikkerhedsindholdet i iOS 17.6 og iPadOS 17.6

I dette dokument beskrives sikkerhedsindholdet i iOS 17.6 og iPadOS 17.6.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

iOS 17.6 og iPadOS 17.6

Udgivet 29. juli 2024

AppleMobileFileIntegrity

Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40799: D4m0n

CoreMedia

Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

dyld

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-40815: w0wbox

Family Sharing

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2024-40795: Csaba Fitzl (@theevilbit) fra Kandji

ImageIO

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40806: Yisumi

ImageIO

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40777: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

ImageIO

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2024-40784: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, Gandalf4a

Kernel

Effekt: En lokal hacker kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

libxpc

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2024-40805

Phone

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Et problem med låseskærmen er løst via forbedret statusadministration.

CVE-2024-40813: Jacob Braun

Photos Storage

Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2024-40778: Mateen Alinaghi

Sandbox

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-40824: Wojciech Regula fra SecuRing (wojciechregula.blog) og Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong

Sandbox

Effekt: En app kan muligvis få adgang til beskyttede brugerdata

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2024-27871: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) fra Kandji og Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong

Shortcuts

Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40835: en anonym programmør

CVE-2024-40836: en anonym programmør

Shortcuts

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40809: en anonym programmør

CVE-2024-40812: en anonym programmør

Shortcuts

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.

CVE-2024-40787: en anonym programmør

Shortcuts

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Effekt: En hacker kan muligvis se følsomme brugeroplysninger

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-40786: Bistrit Dahal

Siri

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40818: Bistrit Dahal og Srijan Poudel

Siri

Effekt: En hacker med fysisk adgang til en enhed kan muligvis få adgang til kontakter fra låseskærmen

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40822: Srijan Poudel

Siri

Effekt: En sandbox-app kan muligvis få adgang til følsomme brugerdata i systemlogarkiver

Beskrivelse: Et anonymitetsproblem er løst via forbedret bortredigering af private data for logposter.

CVE-2024-44205: Jiahui Hu (梅零落) og Meng Zhang (鲸落) fra NorthSea

Post tilføjet 15. oktober 2024

VoiceOver

Effekt: En hacker kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

WebKit Bugzilla: 273176

CVE-2024-40776: Huang Xilin fra Ant Group Light-Year Security Lab

WebKit Bugzilla: 268770

CVE-2024-40782: Maksymilian Motyl

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

WebKit Bugzilla: 275431

CVE-2024-40779: Huang Xilin fra Ant Group Light-Year Security Lab

WebKit Bugzilla: 275273

CVE-2024-40780: Huang Xilin fra Ant Group Light-Year Security Lab

WebKit

Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Problemet er løst via forbedret kontrol.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40789: Seunghyun Lee (@0x10n) fra KAIST Hacking Lab, der arbejder med Trend Micro Zero Day Initiative

WebKit

Effekt: Private browsing-faner kan tilgås uden godkendelse

Beskrivelse: Problemet er løst via forbedret statusadministration.

WebKit Bugzilla: 275272

CVE-2024-40794: Matthew Butler

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedrede kontroller.

WebKit Bugzilla: 276097

CVE-2024-44185: Gary Kwong

Post tilføjet 15. oktober 2024

WebKit

Effekt: En bruger kan muligvis omgå visse begrænsninger af webindhold

Beskrivelse: Et problem i forbindelse med behandlingen af URL-adresseprotokoller er løst via forbedret logik.

WebKit Bugzilla: 280765

CVE-2024-44206: Andreas Jaegersberger og Ro Achterberg

Post tilføjet 15. oktober 2024

WebKit

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

WebKit Bugzilla: 274165

CVE-2024-4558

Yderligere anerkendelser

AirDrop

Vi vil gerne takke Linwz of DEVCORE for hjælpen.

Find My

Vi vil gerne takke Andrew Bruns, Bret Palsson, Phil Purviance og Shawn Cohen for hjælpen.

Post tilføjet 15. oktober 2024

Settings

Vi vil gerne takke Joshua Thomas for hjælpen.

Shortcuts

Vi vil gerne takke en anonym programmør for hjælpen.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 22. oktober 2024