Informacije o sigurnosnom sadržaju sustava iOS 16.7.9 i iPadOS 16.7.9
U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 16.7.9 i iPadOS 16.7.9.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iOS 16.7.9 i iPadOS 16.7.9
Objavljeno 29. srpnja 2024.
CoreGraphics
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40799: D4m0n
CoreMedia
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom zlonamjerne videodatoteke može doći do neočekivanog zatvaranja aplikacije
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27873: Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations)
ImageIO
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40806: Yisumi
ImageIO
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-40784: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i korisnikom Gandalf4a
Kernel
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2024-40788: Minghao Lin i Jiaxun Zhu (Sveučilište Zhejiang)
NetworkExtension
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: tijekom privatne sesije pregledavanja može doći do otkrivanja podataka o ranijim pregledima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-40796: Adam M.
Photos Storage
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2024-40778: Mateen Alinaghi
Security
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacija može čitati podatke o ranijim pregledavanjima putem Safarija
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2024-40798: Adam M.
Shortcuts
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-40833: anonimni istraživač
CVE-2024-40835: anonimni istraživač
CVE-2024-40836: anonimni istraživač
Shortcuts
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-40793: Kirin (@Pwnrin)
Shortcuts
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-40809: anonimni istraživač
CVE-2024-40812: anonimni istraživač
Siri
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2024-40818: Bistrit Dahal i Srijan Poudel
Siri
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: napadač bi mogao pregledavati osjetljive korisničke podatke
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-40786: Bistrit Dahal
Siri
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: napadač s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona
Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.
CVE-2024-40822: Srijan Poudel
VoiceOver
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: napadač bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)
WebKit
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-40789: Seunghyun Lee (@0x10n) (KAIST Hacking Lab) u suradnji s projektom Zero Day Initiative (Trend Micro)
WebKit
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)
WebKit
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: taj je problem riješen poboljšanim provjerama.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
Dodatna zahvala
Shortcuts
Na pomoći zahvaljujemo anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.