מידע על תוכן האבטחה של iOS 17.2 ושל iPadOS 17.2
מסמך זה מתאר את תוכן האבטחה של iOS 17.2 ושל iPadOS 17.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
iOS 17.2 ו-iPadOS 17.2
הופץ ב‑11 בדצמבר 2023
Accessibility
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-42937: Noah Roskin-Frazee ו-Prof. J. (ZeroClicks.ai Lab)
הרשומה נוספה ב‑22 בינואר 2024
Accounts
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיית פרטיות טופלה באמצעות עריכת נתונים פרטיים משופרת עבור רשומות יומן.
CVE-2023-42919: Kirin (Pwnrin@)
Assets
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: הבעיה נפתרה באמצעות שיפור הטיפול בקבצים זמניים.
CVE-2023-42896: מיקי ג'ין (@patch1t)
הרשומה נוספה ב‑22 במרץ 2024
AVEVideoEncoder
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42884: חוקר אנונימי
Bluetooth
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף עם הרשאות ברשת עשוי להיות מסוגל להחדיר הקשות על ידי זיוף מקלדת
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-45866: Marc Newlin מ-SkySafe
הרשומה נוספה ב‑11 בדצמבר 2023
Bluetooth
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לבצע התקפה של מניעת שירות באמצעות חבילות Bluetooth בעלות מבנה זדוני
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42941: Christopher Reynolds
הרשומה נוספה ב-10 בינואר 2024
CallKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות
CVE-2023-42962: Aymane Chabat
הרשומה נוספה ב‑22 במרץ 2024
Find My
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42922: Wojciech Regula מ-SecuRing (wojciechregula.blog)
ImageIO
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תמונה עלול לגרום להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42898: Zhenjiang Zhao of Pangu Team, Qianxin and Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM ו-Junsung Lee
הערך עודכן ב‑22 מרץ 2024
ImageIO
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42888: Michael DePlante (@izobashi) מ-Trend Micro Zero Day Initiative
הרשומה נוספה ב‑22 בינואר 2024
IOUSBDeviceFamily
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
הערך עודכן ב‑22 מרץ 2024
Kernel
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) מ-Synacktiv (@Synacktiv)
Libsystem
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש מוגנים
תיאור: בעיית הרשאות טופלה באמצעות הסרה של קוד פגיע והוספת בדיקות.
CVE-2023-42893
הרשומה נוספה ב‑22 במרץ 2024
Safari Private Browsing
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: ניתן לגשת לכרטיסיות 'גלישה פרטית' ללא אימות
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2023-42923: ARJUN S D
Sandbox
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.
CVE-2023-42936: Csaba Fitzl (@theevilbit) מ-OffSec
הרשומה נוספה ב-22 במרץ 2024, עודכנה ב-16 ביולי 2024
Siri
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2023-42897: Andrew Goldberg מ-The McCombs School of Business, אוניברסיטת טקסס באוסטין (linkedin.com/andrew-goldberg-/)
TCC
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עשוי להצליח לצאת מתוך ארגז החול
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2023-42947: Zhongquan Li (@Guluisacat) מ-Dawn Security Lab of JingDong
הרשומה נוספה ב‑22 במרץ 2024
Transparency
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: הבעיה טופלה באמצעות הגבלה משופרת של גישה אל הגורם המכיל של הנתונים.
CVE-2023-40389: Csaba Fitzl (@theevilbit) מ-Offensive Security ו-Joshua Jewett (@JoshJewett33)
הרשומה נוספה ב-16 ביולי 2024
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute and rushikesh nandedkar
הרשומה נוספה ב‑22 במרץ 2024
WebKit
זמין עבור: iPhone XS ואילך, iPad Pro בגודל 12.9 אינץ' דור שני ואילך, iPad Pro בגודל 10.5 אינץ', iPad Pro בגודל 11 אינץ' דור ראשון ואילך, iPad Air דור שלישי ואילך, iPad דור שישי ואילך ו-iPad mini דור חמישי ואילך
השפעה: עיבוד תוכן אינטרנט עלול לגרום למניעת שירות
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
הרשומה נוספה ב‑22 במרץ 2024
תודות נוספות
Safari Private Browsing
אנו מבקשים להודות ל-Joshua Lund מ-Signal Technology Foundation ול-Iakovos Gurulian על הסיוע.
הערך עודכן ב‑22 מרץ 2024
Setup Assistant
ברצוננו להודות ל-Aaron Gregory מ-Acoustic.com and Eastern Illinois University – Graduate School of Technology על הסיוע.
WebKit
ברצוננו להודות ל-椰椰 על הסיוע.
WebSheet
אנחנו מבקשים להודות ל-Paolo Ruggero מ-e-phors S.p.A. (A FINCANTIERI S.p.A. Company) על הסיוע.
הרשומה נוספה ב‑22 במרץ 2024
Wi-Fi
אנחנו מבקשים להודות ל-Noah Roskin-Frazee ול-Prof. J. (ZeroClicks.ai Lab) על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.