מידע על תוכן האבטחה של iOS 17.3 ו-iPadOS 17.3

מסמך זה מתאר את תוכן האבטחה של iOS 17.3 ו-iPadOS 17.3.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 17.3 ו-iPadOS 17.3

Apple Neural Engine

זמין עבור מכשירים עם Apple Neural Engine‏: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שלישי ואילך, iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שמיני ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23212:‏ Ye Zhang מ-Baidu Security

CoreCrypto

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף עלול להיות מסוגל לפענח מידע מוצפן (ciphertext) של RSA PKCS#1 v1.5 מדור קודם מבלי שהמפתח הפרטי בידיו

תיאור: בעיית תזמון בערוץ צדדי טופלה באמצעות שיפורים במחשוב זמן קבוע בפונקציות קריפטוגרפיות.

CVE-2024-23218‏: Clemens Lang

Kernel

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23208‏: fmyy(@binary_fmyy) ו-lime מ-TIANGONG Team of Legendsec ב-QI-ANXIN Group

libxpc

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-23201: קו מ' נאקגוואה מ-FFRI Security, Inc.‎ חוקר אנונימי

Mail Search

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-23207: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab) ו-Ian de Marcellus

Notes

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: ייתכן שהנעילה של תוכן של פתקים נעולים התבטלה באופן בלתי צפוי

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-23228: ‏Harsh Tyagi

NSSpellChecker

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים.

CVE-2024-23223: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

Power Manager

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח להשחית את הזיכרון של מעבד העזר

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27791: ‏Pan ZhenPeng‏ (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.

Reset Services

זמין עבור: iPhone XS ואילך

השפעה: התכונה 'הגנת מכשיר גנוב' עלולה להיות מושבתת באופן בלתי צפוי

תיאור: הבעיה טופלה באמצעות אימות משופר.

CVE-2024-23219: ‏Peter Watthey ו-Christian Scalese

Safari

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: פעילות גלישה פרטית של משתמש עלולה להיות גלויה ב'הגדרות'

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בהעדפות המשתמש.

CVE-2024-23211:‏ Mark Bowers

Shortcuts

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש

תיאור: הבעיה טופלה באמצעות בדיקות נוספות של הרשאות.

CVE-2024-23203: חוקר אנונימי

CVE-2024-23204‏: Jubaer Alnazi ‏(@h33tjubaer)

Shortcuts

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לעקוף העדפות פרטיות מסוימות

תיאור: בעיית אבטחה טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-23217‏: Kirin ‏(@Pwnrin)

TCC

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-23215‏: Zhongquan Li‏ (‎@Guluisacat)

Time Zone

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להיות מסוגל להציג מספר טלפון של משתמש ביומני מערכת

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-23210: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

WebKit

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל לקחת מהמשתמש טביעות אצבע

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2024-23206: חוקר אנונימי

WebKit

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2024-23213‏: Wangtaiyu מ-Zhongfu info

WebKit

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2024-23214‏: Nan Wang ‏(@eternalsakura13) מ-‎360 Vulnerability Research Institute

WebKit

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2024-23222

WebKit

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: אתר אינטרנט זדוני עלול לגרום להתנהגות לא צפויה ממקורות מרובים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-23271: ‏James Lee‏ (‎@Windowsrcer)

תודות נוספות

NetworkExtension

אנחנו מבקשים להודות ל-Nils Rollshausen על הסיוע.