Az iOS 17.7.1 és az iPadOS 17.7.1 biztonsági változásjegyzéke

Ez a dokumentum az iOS 17.7.1 és az iPadOS 17.7.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 17.7.1 és iPadOS 17.7.1

Kiadási dátum: 2024. október 28.

Accessibility

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok elemzésekor váratlan rendszerleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

Bejegyzés hozzáadva 2024. november 1-jén.

CoreText

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44240: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

Foundation

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-44282: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative

ImageIO

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44215: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)

ImageIO

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44297: Jex Amro

Kernel

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Ez ártó szándékkal létrehozott biztonságimásolat-fájl módosíthatta a védett rendszerfájlokat

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak sértették az iframe-ek sandboxban való futtatására vonatkozó szabályzatot.

Leírás: Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy egyedi URL-sémakezelési hibát.

CVE-2024-44155: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

Safari Downloads

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: A támadók vissza tudtak élni a bizalmi kapcsolatokkal, és ezáltal le tudtak tölteni rosszindulatú tartalmakat.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44259: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

SceneKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2024-44144: 냥냥

SceneKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44218: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

Shortcuts

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Előfordult, hogy rosszindulatú alkalmazások billentyűparancsok használatával korlátozott hozzáférésű fájlokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44269: Kirin (@Pwnrin) és egy anonim kutató

Bejegyzés frissítve: 2024. december 11.

Siri

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az elkülönített alkalmazások képesek lehetnek bizalmas felhasználói adatokhoz hozzáférni a rendszernaplókban

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

A következőkön érhető el: iPhone XS és újabb modellek, 13 hüvelykes iPad Pro, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

További köszönetnyilvánítás

Security

Köszönjük Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group), valamint Luyi Xing (Indiana University Bloomington) segítségét.

Bejegyzés frissítve: 2024. december 11.

Spotlight

Köszönjük Paulo Henrique Batista Rosa de Castro (@paulohbrc) segítségét.

WebKit

Köszönjük Eli Grey (eligrey.com) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: