Tietoja iOS 16.7.9:n ja iPadOS 16.7.9:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iOS 16.7.9:n ja iPadOS 16.7.9:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

iOS 16.7.9 ja iPadOS 16.7.9

CoreGraphics

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40799: D4m0n

CoreMedia

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: haitallisen videotiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-27873: Amir Bazine ja Karsten König, CrowdStrike Counter Adversary Operations

ImageIO

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: Tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40806: Yisumi

ImageIO

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40784: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen ja Gandalf4an kanssa

Kernel

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-40788: Minghao Lin ja Jiaxun Zhu (Zhejiang University)

NetworkExtension

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: yksityinen selaus saattaa vuotaa jonkin verran selaushistoriaa.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-40796: Adam M.

Photos Storage

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: Kätketyt-albumin kuvia saattoi katsoa ilman todentautumista.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-40778: Mateen Alinaghi

Security

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä lukemaan Safarin selaushistoriaa.

Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen sensuroimista.

CVE-2024-40798: Adam M.

Shortcuts

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-40833: nimetön tutkija

CVE-2024-40835: nimetön tutkija

CVE-2024-40836: nimetön tutkija

Shortcuts

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-40809: nimetön tutkija

CVE-2024-40812: nimetön tutkija

Siri

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-40818: Bistrit Dahal ja Srijan Poudel

Siri

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: hyökkääjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40786: Bistrit Dahal

Siri

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä käyttämään yhteystietoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-40822: Srijan Poudel

VoiceOver

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: hyökkääjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India)

WebKit

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab) yhdessä Trend Micro Zero Day Initiativen kanssa

WebKit

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

Saatavuus: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. sukupolvi), iPad Pro (9,7 tuumaa) ja iPad Pro (12,9 tuumaa, 1. sukupolvi)

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

Kiitokset

Shortcuts

Haluamme kiittää avusta nimetöntä tutkijaa.