Az iOS 16.7.8 és az iPadOS 16.7.8 biztonsági változásjegyzéke
Ez a dokumentum az iOS 16.7.8 és az iPadOS 16.7.8 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 16.7.8 és iPadOS 16.7.8
Kiadás dátuma: 2024. május 13.
Core Data
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A környezeti változók validálásának továbbfejlesztésével megoldottuk a problémát.
CVE-2024-27805: Kirin (@Pwnrin) és 小来来 (@Smi1eSEC)
Bejegyzés hozzáadva: 2024. június 10.
CoreMedia
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Bejegyzés hozzáadva: 2024. június 10.
CoreMedia
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2024-27831: Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations)
Bejegyzés hozzáadva: 2024. június 10.
Foundation
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Előfordulhatott, hogy egy magasabb szintű jogosultságokkal nem rendelkező alkalmazás rögzíteni tudta a billentyűleütéseket más alkalmazásokban, köztük a biztonságos beviteli módot használókban is.
Leírás: További jogosultság-ellenőrzésekkel hárítottuk el a problémát.
CVE-2024-27799: anonim kutató
Bejegyzés hozzáadva: 2024. június 10.
Kernel
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-27818: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Bejegyzés hozzáadva: 2024. június 10.
Kernel
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória védelmi funkcióit.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-27840: anonim kutató
Bejegyzés hozzáadva: 2024. június 10.
Kernel
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A magas hálózati jogosultságú támadók meg tudták hamisítani a hálózati csomagokat.
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-27823: Prof. Benny Pinkas (Bar-Ilan University), Prof. Amit Klein (Hebrew University) és EP
Bejegyzés hozzáadva: 2024. július 29.
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A fizikai hozzáféréssel rendelkező támadók bizonyos esetekben kiszivárogtathatták a Mail-fiók hitelesítő adatait.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2024-23251: Gil Pedersen
Bejegyzés hozzáadva: 2024. június 10.
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A rosszindulatú célból létrehozott e-mailek bizonyos esetekben a felhasználó hozzájárulása nélkül indíthattak FaceTime-hívásokat.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Bejegyzés hozzáadva: 2024. június 10.
Messages
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-27800: Daniel Zajork és Joshua Zajork
Bejegyzés hozzáadva: 2024. június 10.
Metal
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása váratlan appleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm, a Trend Micro Zero Day Initiative közreműködőjeként)
Bejegyzés hozzáadva: 2024. június 10.
RTKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23296
Shortcuts
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27855: anonim kutató
Bejegyzés hozzáadva: 2024. június 10.
Spotlight
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.
CVE-2024-27806
Bejegyzés hozzáadva: 2024. június 10.
Symptom Framework
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Az alkalmazások bizonyos esetekben megkerülhették az Appok adatvédelmi jelentése naplózását.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27807: Romy R.
Bejegyzés hozzáadva: 2024. június 10.
Sync Services
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát
CVE-2024-27847: Mickey Jin (@patch1t)
Bejegyzés hozzáadva: 2024. június 10.
Voice Control
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27796: ajajfxhj
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát
Leírás: További logika hozzáadásával megoldottuk a problémát.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) a Trend Micro Zero Day Initiative kezdeményezés keretében
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) a Trend Micro Zero Day Initiative kezdeményezés keretében
Bejegyzés hozzáadva: 2024. június 10.
WebKit Web Inspector
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Bejegyzés hozzáadva: 2024. június 10.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.