Az iPadOS 17.7.3 biztonsági változásjegyzéke

Ez a dokumentum az iPadOS 17.7.3 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iPadOS 17.7.3

Kiadási dátum: 2024. december 11.

Accounts

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban

Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.

CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) és taikosoup

Bejegyzés hozzáadva: 2025. január 27.

FontParser

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54486: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

ImageIO

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54500: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)

Kernel

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54468: anonim kutató

Bejegyzés hozzáadva: 2025. január 27.

Kernel

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A támadók bizonyos esetekben olyan csak olvasható memórialeképezést tudtak létrehozni, amelybe lehetett írni

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-54494: sohybbyk

Kernel

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)

Kernel

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44245: anonim kutató

libarchive

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadáshoz vezethet.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44201: Ben Roeder

libexpat

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges kódot tudtak futtatni

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2024-45490

Libnotify

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Az appok rendszerértesítéseket tudtak utánozni. Az érzékeny értesítésekhez mostantól korlátozott jogosultságokra van szükség.

CVE-2025-24091: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Bejegyzés hozzáadva: 2025. április 30.

libxpc

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44225: 风沐云烟 (@binary_fmyy)

Passwords

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben módosítani tudták a hálózati forgalmat

Leírás: Az információk hálózati továbbítása során HTTPS használatával megoldottuk a problémát.

CVE-2024-54492: Talal Haj Bakry és Tommy Mysk (Mysk Inc., @mysk_co)

Safari

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Ha a készüléken engedélyezve volt a Privát átjátszó, és hozzáadtak egy webhelyet a Safari olvasási listájához, előfordult, hogy a rendszer felfedte a webhelynek a forrás IP-címét

Leírás: A Safari által biztosított kérelmek útválasztásának javításával megoldottuk a problémát.

CVE-2024-44246: Jacob Braun

SceneKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-54501: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)

VoiceOver

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Az iPadOS-készülékhez fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről meg tudták tekinteni az értesítések tartalmát.

Leírás: További logika hozzáadásával megoldottuk a problémát.

CVE-2024-54485: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India)

WebKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit

A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

További köszönetnyilvánítás

Proximity

Köszönjük Junming C. (@Chapoly1305) és Prof. Qiang Zeng (George Mason University) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: