Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
Sustavi iOS 16.7.6 i iPadOS 16.7.6
Objavljeno 5. ožujka 2024.
Accessibility
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacija bi mogla lažirati obavijesti sustava i korisničko sučelje
Opis: problem je riješen dodatnim provjerama ovlasti.
CVE-2024-23262: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Unos dodan 7. ožujka 2024.
CoreCrypto
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: napadač bi mogao dešifrirati stare šifrirane tekstove RSA PKCS#1 v1.5, a da za to ne mora imati privatni ključ
Opis: problem s vremenskim odrednicama sporednog kanala riješen je uvođenjem poboljšanja u konstantnom izračunavanju vremena za kriptografske funkcije.
CVE-2024-23218: Clemens Lang
Unos dodan 7. ožujka 2024.
ImageIO
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obrada slike mogla bi dovesti do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Unos dodan 7. ožujka 2024.
ImageIO
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom slike moglo bi doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-23257: Junsung Lee u suradnji s inicijativom Trend Micro Zero Day
Unos dodan 7. ožujka 2024.
Kernel
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2024-23225
Kernel
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2024-23235
Unos dodan 7. ožujka 2024.
Kernel
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2024-23265: Xinru Chi (Pangu Lab)
Unos dodan 7. ožujka 2024.
libxpc
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23278: anonimni istraživač
Unos dodan 7. ožujka 2024.
MediaRemote
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.
CVE-2023-28826: Meng Zhang (鲸落, NorthSea)
Unos dodan 7. ožujka 2024.
Metal
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacija bi mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) u suradnji s inicijativom Trend Micro Zero Day
Unos dodan 7. ožujka 2024.
Notes
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23283
Unos dodan 7. ožujka 2024.
Safari
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obradom web-sadržaja moglo bi se izazvati odbijanje usluge
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23259: Lyra Rebane (rebane2001)
Unos dodan 7. ožujka 2024.
Share Sheet
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.
CVE-2024-23231: Kirin (@Pwnrin) i luckyu (@uuulucky)
Unos dodan 7. ožujka 2024.
Shortcuts
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku
Opis: problem je riješen dodatnim provjerama dozvola.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
CVE-2024-23203: anonimni istraživač
Unos dodan 7. ožujka 2024.
Siri
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za pristup privatnim informacijama o kalendaru
Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.
CVE-2024-23289: Lewis Hardy
Unos dodan 7. ožujka 2024.
UIKit
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-23246: Deutsche Telekom Security GmbH pod pokroviteljstvom agencije Bundesamt für Sicherheit in der Informationstechnik
Unos dodan 7. ožujka 2024.
WebKit
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber i Marco Squarcina
Unos dodan 7. ožujka 2024.
WebKit
Dostupno za: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generacije), 9,7-inčni iPad Pro i 12,9-inčni iPad Pro (1. generacije)
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Unos dodan 7. ožujka 2024.