Tietoja iOS 16.7.8:n ja iPadOS 16.7.8:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iOS 16.7.8:n ja iPadOS 16.7.8:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
iOS 16.7.8 ja iPadOS 16.7.8
Julkaistu 13.5.2024
Core Data
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma korjattiin parantamalla ympäristömuuttujien validointia.
CVE-2024-27805: Kirin (@Pwnrin) ja 小来来 (@Smi1eSEC)
Kohta lisätty 10.6.2024
CoreMedia
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27817: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kohta lisätty 10.6.2024
CoreMedia
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-27831: Amir Bazine ja Karsten König, CrowdStrike Counter Adversary Operations
Kohta lisätty 10.6.2024
Foundation
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: valtuuttamaton appi saattoi pystyä kirjaamaan toisiin appeihin syötetyt näppäinpainallukset myös suojatussa syöttötilassa.
Kuvaus: ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-2024-27799: nimetön tutkija
Kohta lisätty 10.6.2024
Kernel
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: käyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27818: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kohta lisätty 10.6.2024
Kernel
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin suojaukset.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27840: nimetön tutkija
Kohta lisätty 10.6.2024
Kernel
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä jäljittelemään verkkopaketteja.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2024-27823: professori Benny Pinkas (Bar-Ilan University), professori Amit Klein (Hebrew University) ja EP
Kohta lisätty 29.7.2024
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: hyökkääjä, jolla oli fyysinen käyttöoikeus, pystyi vuotamaan Mail-tilien kirjautumistiedot.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2024-23251: Gil Pedersen
Kohta lisätty 10.6.2024
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: haitallinen sähköposti saattoi pystyä aloittamaan FaceTime-puheluita ilman käyttäjän lupaa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Kohta lisätty 10.6.2024
Messages
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-27800: Daniel Zajork ja Joshua Zajork
Kohta lisätty 10.6.2024
Metal
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kohta lisätty 10.6.2024
RTKit
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan kernel-muistin suojaukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2024-23296
Shortcuts
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27855: nimetön tutkija
Kohta lisätty 10.6.2024
Spotlight
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.
CVE-2024-27806
Kohta lisätty 10.6.2024
Symptom Framework
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: appi saattoi pystyä kiertämään App Privacy Report -kirjauksen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27807: Romy R.
Kohta lisätty 10.6.2024
Sync Services
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia
CVE-2024-27847: Mickey Jin (@patch1t)
Kohta lisätty 10.6.2024
Voice Control
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27796: ajajfxhj
Kohta lisätty 10.6.2024
WebKit
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.
Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos, Mozilla
Kohta lisätty 10.6.2024
WebKit
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kohta lisätty 10.6.2024
WebKit
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 272750
CVE-2024-27834: Trend Micron Zero Day Initiativen parissa työskentelevä Manfred Paul (@_manfp)
Kohta lisätty 10.6.2024
WebKit Web Inspector
Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Kohta lisätty 10.6.2024
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.