מידע על תוכן האבטחה של iOS 17.2 ושל iPadOS 17.2

מסמך זה מתאר את תוכן האבטחה של iOS 17.2 ושל iPadOS 17.2.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 17.2 ו-iPadOS 17.2

הופץ ב‑11 בדצמבר 2023

Accessibility

זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42937: ‏Noah Roskin-Frazee ו-Prof. J.‎ ‏(ZeroClicks.ai Lab)

הרשומה נוספה ב‑22 בינואר 2024

Accounts

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.

CVE-2023-42919:‏ Kirin (‏Pwnrin@)

Assets

השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.

CVE-2023-42896‏: Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב-22 במרץ 2024

AVEVideoEncoder

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42884: חוקר אנונימי

Bluetooth

השפעה: תוקף עם הרשאות ברשת עשוי להיות מסוגל להחדיר הקשות על ידי זיוף מקלדת

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-45866‏: Marc Newlin מ-SkySafe

הרשומה נוספה ב‑11 בדצמבר 2023

Bluetooth

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות Bluetooth בעלות מבנה זדוני

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42941‏: Christopher Reynolds

הרשומה נוספה ב-10 בינואר 2024

CallKit

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות

CVE-2023-42962‏: Aymane Chabat

הרשומה נוספה ב‑22 במרץ 2024

Find My

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42922‏: Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

ImageIO

השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42898‏: Zhenjiang Zhao מ-Pangu Team, Qianxin ו-Junsung Lee

CVE-2023-42899‏: Meysam Firouzi @R00tkitSMM ו-Junsung Lee

הרשומה עודכנה ב-22 במרץ 2024

ImageIO

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42888‏: Michael DePlante ‏(@izobashi) מ-Trend Micro Zero Day Initiative

הרשומה נוספה ב‑22 בינואר 2024

IOUSBDeviceFamily

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.

CVE-2023-42974: ‏Pan ZhenPeng‏ (‎@Peterpan0927) מ-STAR Labs SG Pte.‎ Ltd.

הרשומה עודכנה ב-22 במרץ 2024

Kernel

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2023-42914‏: Eloi Benoist-Vanderbeken‏ (‎@elvanderb) מ-Synacktiv‏ (‎@Synacktiv)

Libsystem

השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים

תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.

CVE-2023-42893

הרשומה נוספה ב‑22 במרץ 2024

Safari Private Browsing

השפעה: ניתן לגשת לכרטיסיות 'גלישה פרטית' ללא אימות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2023-42923‏: ARJUN S D

Sandbox

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2023-42936

הרשומה נוספה ב‑22 במרץ 2024

Siri

השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2023-42897‏: Andrew Goldberg מ-The McCombs School of Business, אוניברסיטת טקסס באוסטין (linkedin.com/andrew-goldberg-/)

TCC

השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול

תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.

CVE-2023-42947‏: Zhongquan Li‏ (‎@Guluisacat) מ-Dawn Security Lab of JingDong

הרשומה נוספה ב‑22 במרץ 2024

WebKit

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 259830
CVE-2023-42890:‏ Pwn2car

WebKit

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 263349
CVE-2023-42883‏: Zoom Offensive Security Team

WebKit

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

WebKit Bugzilla‏: 263682
CVE-2023-42950‏: Nan Wang‏ (‎@eternalsakura13) מ-360 Vulnerability Research Institute ו-rushikesh nandedkar

הרשומה נוספה ב‑22 במרץ 2024

WebKit

השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 263989
CVE-2023-42956‏: SungKwon Lee‏ (Demon.Team)

הרשומה נוספה ב‑22 במרץ 2024

תודות נוספות

Safari Private Browsing

אנו מבקשים להודות ל-Joshua Lund מ-Signal Technology Foundation ול-Iakovos Gurulian על הסיוע.

הרשומה עודכנה ב-22 במרץ 2024

Setup Assistant

ברצוננו להודות ל-Aaron Gregory מ-Acoustic.com and Eastern Illinois University – Graduate School of Technology על הסיוע.

WebKit

ברצוננו להודות ל-椰椰 על הסיוע.

WebSheet

אנו מבקשים להודות ל-Paolo Ruggero מ-e-phors S.p.A.‎ ‏(A FINCANTIERI S.p.A. Company) על הסיוע.

הרשומה נוספה ב‑22 במרץ 2024

Wi-Fi

אנחנו מבקשים להודות ל-Noah Roskin-Frazee ול-Prof. J.‎ ‏(ZeroClicks.ai Lab) על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 05 באפריל 2024