מידע על תוכן האבטחה של iOS 17.7 ו-iPadOS 17.7

מסמך זה מתאר את תוכן האבטחה של iOS 17.7 ו-iPadOS 17.7.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 17.7 ו-iPadOS 17.7

הופץ ב-16 בספטמבר 2024

Accessibility

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 13 אינץ', iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לשלוט במכשירים סמוכים באמצעות תכונות נגישות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44171‏: Jake Derouin

Compression

השפעה: פירוק ארכיון בעל מבנה זדוני עלול לאפשר לתוקף לכתוב קבצים שרירותיים

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2024-27876‏: Snoolie Keffaber (‎@0xilis)

Game Center

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית גישה לקבצים טופלה באמצעות אימות קלט משופר.

CVE-2024-40850‏: Denis Tokarev (‎@illusionofcha0s)

ImageIO

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27880‏: Junsung Lee

ImageIO

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-44176‏: dw0r מ-ZeroPointer Lab יחד עם Trend Micro Zero Day Initiative, חוקר אנונימי

IOSurfaceAccelerator

השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-44169‏: Antonio Zekić

Kernel

השפעה: תעבורת רשת עלולה לדלוף אל מחוץ למנהרת VPN

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-44165‏: Andrew Lytvynov

Kernel

השפעה: יישום עלול לקבל גישה לא מורשית ל-Bluetooth

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44191‏: Alexander Heinrich‏, SEEMOO‏, DistriNet‏, KU Leuven (@vanhoefm)‏, TU Darmstadt (@Sn0wfreeze) ו-Mathy Vanhoef

Mail Accounts

השפעה: יישום עלול להצליח לגשת למידע על אנשי הקשר של משתמש

תיאור: בעיית פרטיות טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-40791‏: Rodolphe BRUNETTI (‎@eisw0lf)

mDNSResponder

השפעה: יישום עלול להצליח לגרום למניעת שירות

תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.

CVE-2024-44183‏: Olivier Levon

Safari Private Browsing

השפעה: ניתן לגשת לכרטיסיות 'גלישה פרטית' ללא אימות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44127‏: Anamika Adhikari

Shortcuts

השפעה: פעולה של קיצור עלולה להוציא כפלט נתוני משתמש ללא קבלת הסכמה

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44158‏: Kirin (‎@Pwnrin)

Shortcuts

השפעה: יישום עלול להצליח לצפות בנתונים המוצגים למשתמש באמצעות 'קיצורים'

תיאור: בעיית פרטיות טופלה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2024-40844‏: Kirin (‎@Pwnrin) ו-luckyu (‎@uuulucky) מ-NorthSea

Sync Services

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2024-44164‏: Mickey Jin (‎@patch1t)

Transparency

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-44184‏: Bohdan Stasiuk (‎@Bohdan_Stasiuk)

UIKit

השפעה: תוקף עלול להצליח לגרום לסיום בלתי צפוי של פעולת יישום

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-27879‏: Justin Cohen

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 20 בספטמבר 2024