Tietoja iOS 16.7.6:n ja iPadOS 16.7.6:n turvallisuussisällöstä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

Julkaistu 5.3.2024

Accessibility

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä jäljittelemään järjestelmäilmoituksia ja käyttöliittymää.

Kuvaus: ongelma on ratkaistu lisäämällä oikeuksien tarkistuksia.

CVE-2024-23262: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Kohta lisätty 7.3.2024

CoreCrypto

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: hyökkääjä saattoi pystyä purkamaan vanhojen RSA PKCS#1 v1.5 ‑salaustekstien salauksen ilman yksityistä avainta.

Kuvaus: ajoituksen sivukanavaongelma on ratkaistu parantamalla kiinteäaikaista laskentaa kryptografisissa funktioissa.

CVE-2024-23218: Clemens Lang

Kohta lisätty 7.3.2024

ImageIO

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23286: Dohyun Lee (@l33d0hyun)

Kohta lisätty 7.3.2024

ImageIO

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23257: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 7.3.2024

Kernel

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan kernel-muistin suojaukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.

Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2024-23225

Kernel

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-23235

Kohta lisätty 7.3.2024

Kernel

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: muistin vioittumishaavoittuvuus on ratkaistu parantamalla lukitsemista.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kohta lisätty 7.3.2024

libxpc

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23278: nimetön tutkija

Kohta lisätty 7.3.2024

MediaRemote

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.

CVE-2023-28826: Meng Zhang (鲸落, NorthSea)

Kohta lisätty 7.3.2024

Metal

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: validointiongelma on ratkaistu parantamalla annettujen tietojen puhdistamista.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 7.3.2024

Notes

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23283

Kohta lisätty 7.3.2024

Safari

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23259: Lyra Rebane (rebane2001)

Kohta lisätty 7.3.2024

Share Sheet

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23231: Kirin (@Pwnrin) ja luckyu (@uuulucky)

Kohta lisätty 7.3.2024

Shortcuts

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

CVE-2024-23203: nimetön tutkija

Kohta lisätty 7.3.2024

Siri

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä käyttämään yksityisiä kalenteritietoja Sirin avulla.

Kuvaus: lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23289: Lewis Hardy

Kohta lisätty 7.3.2024

UIKit

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-23246: Deutsche Telekom Security GmbH (sponsorina Bundesamt für Sicherheit in der Informationstechnik)

Kohta lisätty 7.3.2024

WebKit

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: Haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber ja Marco Squarcina

Kohta lisätty 7.3.2024

WebKit

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: logiikkaongelma on ratkaistu parantamalla validointia.

WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)

Kohta lisätty 7.3.2024