Informacije o sigurnosnom sadržaju sustava iOS 17.1 i iPadOS 17.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava iOS 17.1 i iPadOS 17.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iOS 17.1 I iPadOS 17.1

Izdano 25. listopada 2023.

Automation

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Utjecaj: aplikacija s korijenskim ovlastima mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2023-42952: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab) (xlab.tencent.com)

Unos dodan 16. veljače 2024.

Contacts

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-41072: Wojciech Regula (SecuRing) (wojciechregula.blog) i Csaba Fitzl (@theevilbit) (Offensive Security)

CVE-2023-42857: Noah Roskin-Frazee i profesor J. (ZeroClicks.ai Lab)

CoreAnimation

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla uzrokovati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40449: Tomi Tokics (@tomitokics) (iTomsn0w)

Core Recents

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen saniranjem zapisivanja

CVE-2023-42823

Unos dodan 16. veljače 2024.

FairPlay

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacije bi mogle dobiti veće ovlasti

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42928: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs SG Pte. Ltd.)

Unos dodan 16. veljače 2024.

Find My

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-40413: Adam M.

Find My

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem datotekama.

CVE-2023-42834: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos dodan 16. veljače 2024.

Game Center

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2023-42953: Michael (Biscuit) Thomas (@biscuit@social.lol)

Unos dodan 16. veljače 2024.

ImageIO

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40416: JZ

ImageIO

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom zlonamjerne slike može doći do oštećenja hrpe

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42848: JZ

Unos dodan 16. veljače 2024.

IOTextEncryptionFamily

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40423: anonimni istraživač

Kernel

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42849: Linus Henze (Pinauten GmbH) (pinauten.de)

libc

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obrada zlonamjernih ulaznih podataka može dovesti do izvršavanja proizvoljnog koda u aplikacijama koje je instalirao korisnik

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-40446: inooo

Unos je dodan 3. studenoga 2023.

libxpc

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2023-42942: Mickey Jin (@patch1t)

Unos dodan 16. veljače 2024.

Mail Drafts

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: značajka Sakrij moj e-mail može se neočekivano deaktivirati

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2023-42846: Talal Haj Bakry i Tommy Mysk (Mysk Inc.) @mysk_co

Passkeys

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač bi mogao pristupiti poveznim ključevima bez provjere autentičnosti

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42847: anonimni istraživač

Photos

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: fotografije iz albuma Skriveno mogle bi se pregledavati bez provjere autentičnosti

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2023-42845: Bistrit Dahal

Unos ažuriran 16. veljače 2024

Pro Res

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)

Pro Res

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu i Guang Gong (360 Vulnerability Research Institute)

Unos dodan 16. veljače 2024.

Safari

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: korisnik možda ne može izbrisati stavke povijesti pretraživanja

Opis: problem je riješen poboljšanim rukovanjem predmemorijama.

CVE-2023-42951: Adis Alic

Unos dodan 16. veljače 2024.

Sandbox

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač bi mogao pristupiti povezanim mrežnim jedinicama postavljenim u matični direktorij

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Unos dodan 16. veljače 2024.

Sandbox

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Unos dodan 16. veljače 2024.

Setup Assistant

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač s fizičkim pristupom mogao bi neopaženo zadržati Apple ID na izbrisanom uređaju

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2023-42855: Sam Lakmaker

Unos dodan 16. veljače 2024.

Share Sheet

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula of SecuRing (wojciechregula.blog) i Cristian Dinca (državna srednja škola za računalne znanosti „Tudor Vianu“, Rumunjska)

Unos dodan 16. veljače 2024.

Siri

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Unos ažuriran 16. veljače 2024

Siri

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2023-42946

Unos dodan 16. veljače 2024.

Status Bar

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: uređaj se možda opetovano neće moći zaključati

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, anonimni istraživač, Lorenzo Cavallaro i Harry Lewandowski

Weather

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2023-41254: Cristian Dinca (Nacionalna srednja škola Tudor Vianu za računalnu znanost, Rumunjska)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) (Cross Republic)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: logički problem riješen je poboljšanim provjerama.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) i Vitor Pedreira (@0xvhp_) (Agile Information Security)

Unos ažuriran 16. veljače 2024

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Unos dodan 16. veljače 2024.

WebKit

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: aktivnost iz privatnog pregledavanja korisnika može se neočekivano spremiti u Izvješće o privatnosti aplikacije

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2023-42939: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

Unos dodan 16. veljače 2024.

WebKit Process Model

Dostupno za: iPhone XS i noviji, iPad Pro 12,9-inčni 2. generacije i noviji, iPad Pro 10,5-inčni, iPad Pro 11-inčni 1. generacije i noviji, iPad Air 3. generacije i noviji, iPad 6. generacije i noviji i iPad mini 5. generacije i noviji

Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge

Opis: problem je riješen poboljšanim rukovanjem memorijom.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

Dodatna zahvala

libarchive

Zahvaljujemo na pomoći Bahaau Naamnehu.

libxml2

Na pomoći zahvaljujemo timu projekta OSS-Fuzz i Nedu Williamsonu iz tima Project Zero tvrtke Google.

Power Manager

Na pomoći zahvaljujemo korisniku Xia0o0o0o (@Nyaaaaa_ovo) (University of California, San Diego).

ReplayKit

Zahvaljujemo Abhayu Kailasiji (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal) na pomoći.

Unos dodan 16. veljače 2024.

VoiceOver

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

WebKit

Na pomoći zahvaljujemo anonimnom istraživaču.

WebKit

Na pomoći zahvaljujemo Gishanu Don Ranasingheju i anonimnom istraživaču.

Unos dodan 16. veljače 2024.

WidgetKit

Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).

Unos dodan 16. veljače 2024.

 

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: