מידע על תוכן האבטחה של iOS 16.7.8 ושל iPadOS 16.7.8

מסמך זה מתאר את תוכן האבטחה של iOS 16.7.8 ושל iPadOS 16.7.8.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

iOS 16.7.8 ו-iPadOS 16.7.8

הופץ ב-13 במאי 2024

Core Data

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה טופלה באמצעות אימות משופר של משתני סביבה.

CVE-2024-27805: ‏Kirin ‏(‎@Pwnrin) ו-小来来 ‏(‎@Smi1eSEC)

הרשומה נוספה ב-10 ביוני 2024

CoreMedia

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27817: ‏pattern-f ‏(‎@pattern_F_‎) מ-Ant Security Light-Year Lab

הרשומה נוספה ב-10 ביוני 2024

CoreMedia

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: עיבוד של קובץ עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27831‏: Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations

הרשומה נוספה ב-10 ביוני 2024

Foundation

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-27789‏: Mickey Jin ‏(‎@patch1t)

IOHIDFamily

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: יישום לא מורשה עשוי להיות מסוגל לתעד הקשות ביישומים אחרים, כולל כאלה שנעשה בהם שימוש במצב קלט מאובטח

תיאור: בעיה זו טופלה באמצעות בדיקות הרשאות נוספות.

CVE-2024-27799: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Kernel

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: משתמש עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27818: ‏pattern-f‏ (‏_‎pattern_F@) מ-Ant Security Light-Year Lab

הרשומה נוספה ב-10 ביוני 2024

Kernel

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף הגנות של זיכרון ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-27840: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Kernel

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לזייף מנות רשת

תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.

CVE-2024-27823: פרופ' בני פנקס מאוניברסיטת בר אילן, פרופ' עמית קליין מהאוניברסיטה העברית ו-EP

הרשומה נוספה ב-29 ביולי 2024

Mail

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: תוקף בעל גישה פיזית עלול להיות מסוגל להדליף אישורי כניסה לחשבון ביישום 'דואר'

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2024-23251‏: Gil Pedersen

הרשומה נוספה ב-10 ביוני 2024

Mail

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: הודעת דוא"ל בעלת מבנה זדוני עלולה להצליח להפעיל שיחות FaceTime ללא אישור המשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-23282: ‏Dohyun Lee‏ (‎@l33d0hyun)

הרשומה נוספה ב-10 ביוני 2024

Messages

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-27800‏: Daniel Zajork ו-Joshua Zajork

הרשומה נוספה ב-10 ביוני 2024

Metal

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: עיבוד של קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-27802‏: Meysam Firouzi ‏(‎@R00tkitsmm) בעבודה עם Trend Micro Zero Day Initiative

הרשומה נוספה ב-10 ביוני 2024

RTKit

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות של ליבה עלול לעקוף הגנות של זיכרון ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה.

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2024-23296

Shortcuts

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27855: חוקר אנונימי

הרשומה נוספה ב-10 ביוני 2024

Spotlight

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.

CVE-2024-27806

הרשומה נוספה ב-10 ביוני 2024

Symptom Framework

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: יישום עלול להצליח לעקוף רישום ב'דו"ח פרטיות היישום'

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27807‏: Romy R.‎

הרשומה נוספה ב-10 ביוני 2024

Sync Services

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות

CVE-2024-27847: ‏Mickey Jin‏ (‎@patch1t)

הרשומה נוספה ב-10 ביוני 2024

Voice Control

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-27796‏: ajajfxhj

הרשומה נוספה ב-10 ביוני 2024

WebKit

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש

תיאור: הבעיה טופלה על ידי הוספת לוגיקה.

WebKit Bugzilla‏: 262337

CVE-2024-27838‏: Emilio Cobos מ-Mozilla

הרשומה נוספה ב-10 ביוני 2024

WebKit

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla‏: 271491

CVE-2024-27833:‏ Manfred Paul ‏(‎@_manfp) בעבודה עם Trend Micro Zero Day Initiative

הרשומה נוספה ב-10 ביוני 2024

WebKit

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 272750

CVE-2024-27834‏: Manfred Paul ‏(@_manfp) בעבודה עם Zero Day Initiative של Trend Micro

הרשומה נוספה ב-10 ביוני 2024

WebKit Web Inspector

זמין עבור iPhone 8‏, iPhone 8 Plus‏, iPhone X‏, iPad דור חמישי, iPad Pro בגודל 9.7 אינץ' ו-iPad Pro בגודל 12.9 אינץ' דור ראשון

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla‏: 270139

CVE-2024-27820‏: Jeff Johnson מ-underpassapp.com

הרשומה נוספה ב-10 ביוני 2024

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: