Informacije o sigurnosnom sadržaju sustava iOS 17 i iPadOS 17

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 17 i iPadOS 17.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 17 i iPadOS 17

Izdano 18. rujna 2023.

Accessibility

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati VoiceOver za pristup privatnim podacima u kalendaru

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-40529: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal)

Unos je dodan 22. prosinca 2023.

Airport

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem s dozvolama riješen je poboljšanim redigiranjem osjetljivih podataka.

CVE-2023-40384: Adam M.

App Store

Učinak: udaljeni napadač mogao bi izaći iz Web Content memorije za testiranje

Opis: problem je riješen poboljšanim rukovanjem protokolima.

CVE-2023-40448: w0wbox

AppleMobileFileIntegrity

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2023-42872: Mickey Jin (@patch1t)

Unos je dodan 22. prosinca 2023.

Apple Neural Engine

Dostupno za uređaje sa sustavom Apple Neural Engine: iPhone XS i noviji, iPad Pro 12,9-inčni 3. generacije i noviji, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 8. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40432: Mohamed GHANNAM (@_simo36)

CVE-2023-41174: Mohamed GHANNAM (@_simo36)

CVE-2023-40409: Ye Zhang (@VAR10CK) (Baidu Security)

CVE-2023-40412: Mohamed GHANNAM (@_simo36)

CVE-2023-42871: Mohamed GHANNAM (@_simo36)

Unos je ažuriran 22. prosinca 2023.

Apple Neural Engine

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-41071: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40399: Mohamed GHANNAM (@_simo36)

Apple Neural Engine

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-40410: Tim Michaud (@TimGMichaud) (Moveworks.ai)

Ask to Buy

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-38612: Chris Ross (Zoom)

Unos je dodan 22. prosinca 2023.

AuthKit

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-32361: Csaba Fitzl (@theevilbit) (Offensive Security)

Biometric Authentication

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2023-41232: Liang Wei (PixiePoint Security)

Bluetooth

Učinak: napadač u fizičkoj blizini može uzrokovati ograničeno zapisivanje izvan dopuštenog opsega

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-35984: zer0k

bootp

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-41065: Adam M. i Noah Roskin-Frazee i profesor Jason Lau (ZeroClicks.ai Lab)

CFNetwork

Učinak: aplikacija možda neće primijeniti App Transport Security

Opis: problem je riješen poboljšanim rukovanjem protokolima.

CVE-2023-38596: Will Brattain (Trail of Bits)

CoreAnimation

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40420: 이준성(Junsung Lee) (Cross Republic)

Core Data

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-40528: Kirin (@Pwnrin) (NorthSea)

Unos je dodan 22. siječnja 2024.

Dev Tools

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-32396: Mickey Jin (@patch1t)

Face ID

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacija i noviji i iPad Pro 11-inčni 1. generacije i noviji

Učinak: 3D model izrađen po uzoru na izgled korisnika može potvrditi autentičnost putem Face ID-ja

Opis: problem je riješen poboljšanjem modela za zaštitu od prijevare značajke Face ID.

CVE-2023-41069: Zhice Yang (ShanghaiTech University)

Unos je dodan 22. prosinca 2023.

FileProvider

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-41980: Noah Roskin-Frazee i profesor Jason Lau (ZeroClicks.ai Lab)

Game Center

Učinak: aplikacija bi mogla pristupiti kontaktima

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-40395: Csaba Fitzl (@theevilbit) iz tvrtke Offensive Security

GPU Drivers

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40431: tim tvrtke Certik Skyfall

GPU Drivers

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40391: Antonio Zekic (@antoniozekic) (Dataflow Security)

GPU Drivers

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2023-40441: Ron Masas (Imperva)

iCloud Photo Library

Učinak: aplikacija bi mogla pristupiti korisnikovom fotoalbumu

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2023-40434: Mikko Kenttälä (@Turmio_ ) (SensorFu)

Kernel

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2023-41995: tim tvrtke Certik Skyfall, pattern-f (@pattern_F_) (Ant Security Light-Year Lab)

CVE-2023-42870: Zweig (Kunlun Lab)

CVE-2023-41974: Félix Poulin-Bélanger

Unos je ažuriran 22. prosinca 2023.

Kernel

Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-41981: Linus Henze (Pinauten GmbH) (pinauten.de)

Kernel

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-41984: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte. Ltd.)

Kernel

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2023-40429: Michael (Biscuit) Thomas i 张师傅(@京东蓝军)

Kernel

Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2023-41060: Joseph Ravichandran (@0xjprx) (MIT CSAIL)

Unos je dodan 22. prosinca 2023.

libpcap

Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2023-40400: Sei K.

libxpc

Učinak: aplikacija bi mogla izbrisati datoteke za koje nema dozvolu

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-40454: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

libxpc

Učinak: aplikacija bi mogla pristupiti zaštićenim korisničkim podacima

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2023-41073: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

libxslt

Učinak: obradom web-sadržaja može doći do otkrivanja osjetljivih podataka

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40403: Dohyun Lee (@l33d0hyun) (PK Security)

Maps

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-40427: Adam M. i Wojciech Regula (SecuRing) (wojciechregula.blog)

MobileStorageMounter

Učinak: korisnik bi si mogao povećati ovlasti

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2023-41068: Mickey Jin (@patch1t)

Music

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-41986: Gergely Kalman (@gergely_kalman)

Passkeys

Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti

Opis: problem je riješen dodatnim provjerama dozvola.

CVE-2023-40401: weize she i anonimni istraživač

Unos je dodan 22. prosinca 2023.

Photos Storage

Učinak: aplikacija bi mogla pristupiti uređenim fotografijama spremljenima u privremeni direktorij

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-40456: Kirin (@Pwnrin)

CVE-2023-40520: Kirin (@Pwnrin)

Photos Storage

Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima

Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.

CVE-2023-42934: Wojciech Regula (SecuRing) (wojciechregula.blog)

Unos je dodan 22. prosinca 2023.

Pro Res

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-41063: tim tvrtke Certik Skyfall

QuartzCore

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40422: Tomi Tokics (@tomitokics) (iTomsn0w)

Unos je dodan 22. prosinca 2023.

Safari

Učinak: aplikacija bi mogla otkriti koje je još aplikacije korisnik instalirao

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-35990: Adriatik Raci iz tvrtke Sentry Cybersecurity

Safari

Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja

Opis: problem s upravljanjem prozorom riješen je poboljšanim upravljanjem stanjem.

CVE-2023-40417: Narendra Bhati (twitter.com/imnarendrabhati) (Suma Soft Pvt. Ltd)

Unos je ažuriran 22. prosinca 2023.

Sandbox

Učinak: aplikacija bi mogla prebrisati proizvoljne datoteke

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-40452: Yiğit Can YILMAZ (@yilmazcanyigit)

Share Sheet

Učinak: aplikacija bi mogla pristupiti osjetljivim podacima zabilježenima kada korisnik podijeli vezu

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-41070: Kirin (@Pwnrin)

Simulator

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-40419: Arsenii Kostromin (0x3c3e)

Siri

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-40428: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal)

StorageKit

Učinak: aplikacija bi mogla čitati proizvoljne datoteke

Opis: ovaj je problem riješen poboljšanom provjerom valjanosti simboličkih veza.

CVE-2023-41968: Mickey Jin (@patch1t) i James Hutchins

TCC

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-40424: Arsenii Kostromin (0x3c3e), Joshua Jewett (@JoshJewett33) i Csaba Fitzl (@theevilbit) (Offensive Security)

WebKit

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 249451
CVE-2023-39434: Francisco Alonso (@revskills) i Dohyun Lee (@l33d0hyun) (PK Security)

WebKit Bugzilla: 258992
CVE-2023-40414: Francisco Alonso (@revskills)

Unos je ažuriran 22. prosinca 2023.

WebKit

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama.

WebKit Bugzilla: 256551
CVE-2023-41074: 이준성(Junsung Lee) (Cross Republic) i Jie Ding(@Lime) (HKUS3 Lab)

Unos je ažuriran 22. prosinca 2023.

WebKit

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 239758
CVE-2023-35074: Dong Jun Kim (@smlijun) i Jong Seong Kim (@nevul37) (AbyssLab) i zhunki

Unos je ažuriran 22. siječnja 2024.

WebKit

Učinak: VoiceOver bi mogao naglas pročitati korisnikovu lozinku

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston

Unos je dodan 22. prosinca 2023.

WebKit

Učinak: udaljeni napadač može vidjeti DNS upite koji su procurili uz uključenu opciju Privatni relej

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

WebKit Bugzilla: 257303
CVE-2023-40385: anonimno

Unos je dodan 22. prosinca 2023.

WebKit

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s točnošću riješen je poboljšanim provjerama.

WebKit Bugzilla: 258592
CVE-2023-42833: Dong Jun Kim (@smlijun) i Jong Seong Kim (@nevul37) (AbyssLab)

Unos je dodan 22. prosinca 2023.

Wi-Fi

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2023-38610: Wang Yu (Cyberserval)

Unos je dodan 22. prosinca 2023.

Dodatna zahvala

Accessibility

Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.

Airport

Zahvaljujemo na pomoći Adamu M.-u i Noahu Roskin-Frazeeju i profesoru Jasonu Lauu (ZeroClicks.ai Lab).

Apple Neural Engine

Na pomoći zahvaljujemo korisniku pattern-f (@pattern_F_) (Ant Security Light-Year Lab).

Unos je dodan 22. prosinca 2023.

AppSandbox

Zahvaljujemo Kirinu (@Pwnrin) na pomoći.

Audio

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

Bluetooth

Zahvaljujemo na pomoći Jianjunu Daiju i Guangu Gongu iz tvrtke 360 Vulnerability Research Institute.

Books

Zahvaljujemo na pomoći Aapou Oksmanu (Nixu Cybersecurity).

Control Center

Zahvaljujemo na pomoći Chesteru van den Bogaardu.

CoreMedia Playback

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

Data Detectors UI

Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.

Draco

Na pomoći zahvaljujemo Davidu Coomberu.

Find My

Zahvaljujemo na pomoći Cher Scarlett.

Home

Zahvaljujemo na pomoći Jakeu Derouinu (jakederouin.com).

IOUserEthernet

Na pomoći zahvaljujemo timu tvrtke Certik Skyfall.

Unos je dodan 22. prosinca 2023.

Kernel

Na pomoći zahvaljujemo Billu Marczaku (The Citizen Lab at The University of Toronto's Munk School) i Maddie Stone (Google's Threat Analysis Group) i 永超王.

Keyboard

Na pomoći zahvaljujemo anonimnom istraživaču.

libxml2

Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.

libxpc

Na pomoći zahvaljujemo anonimnom istraživaču.

libxslt

Zahvaljujemo na pomoći Dohyunu Leeju (@l33d0hyun) (PK Security, OSS-Fuzz) i Nedu Williamsonu iz Googleova tima Project Zero.

Menus

Na pomoći zahvaljujemo Matthewu Dentonu (sigurnosni tim za Google Chrome).

Unos je dodan 22. prosinca 2023.

Notes

Na pomoći zahvaljujemo Lucas-Raphaelu Mülleru.

Notifications

Na pomoći zahvaljujemo Jiaxuu Liju.

NSURL

Zahvaljujemo na pomoći Zhanpengu Zhaou (行之) i 糖豆爸爸(@晴天组织).

Password Manager

Na pomoći zahvaljujemo Hidetoshiju Nakamuri.

Photos

Na pomoći zahvaljujemo Anatoliiju Kozlovu, Dawidu Pałuski, Kirinu (@Pwnrin), Lyndonu Corneliusu i Paulu Lurinu.

Power Services

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

Quick Look

Na pomoći zahvaljujemo 이준성(Junsung Lee) iz tvrtke Cross Republic.

Unos je dodan 22. prosinca 2023.

Safari

Na pomoći zahvaljujemo Kangu Aliju (Punggawa Cyber Security) i Andrewu Jamesu Gonzalezu.

Safari Private Browsing

Željeli bismo se zahvaliti Khiemu Tranu i Narendri Bhatiju iz tvrtke Suma Soft Pvt. Ltd.) i anonimnom istraživaču.

Shortcuts

Na pomoći zahvaljujemo Alfieju CG, Christianu Bastingu (Bundesamt für Sicherheit in der Informationstechnik), Cristianu Dinci (Nacionalna srednja škola računalne znanosti „Tudor Vianu”, Rumunjska), Giorgosu Christodoulidisu, Jubaeru Alnaziju (TRS Group Of Companies), KRISHANU KANTU DWIVEDIJU (@xenonx7) i Matthewu Butleru.

Unos je ažuriran 24. travnja 2024.

Siri

Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.

Software Update

Zahvaljujemo na pomoći Omaru Simanu.

Spotlight

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) i Dawidu Pałuski.

Standby

Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.

Status Bar

Na pomoći zahvaljujemo N-u i anonimnom istraživaču.

StorageKit

Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).

Weather

Zahvaljujemo na pomoći Wojciechu Regułi (@_rggi) (SecuRing) (wojciechregula.blog).

Unos je dodan 22. prosinca 2023.

WebKit

Željeli bismo se zahvaliti Khiemu Tranu i Narendri Bhatiju iz tvrtke Suma Soft Pvt. Ltd.) i anonimnom istraživaču.

WebRTC

Na pomoći zahvaljujemo anonimnom istraživaču.

Wi-Fi

Na pomoći zahvaljujemo Wangu Yuu (Cyberserval).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 29. travnja 2024.