Az iPadOS 17.7.3 biztonsági változásjegyzéke
Ez a dokumentum az iPadOS 17.7.3 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iPadOS 17.7.3
Kiadási dátum: 2024. december 11.
Accounts
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: A Rejtett album fotóit hitelesítés nélkül is meg lehetett tekinteni a Fotókban
Leírás: Hatékonyabb fájlkezeléssel elhárítottunk egy logikai problémát.
CVE-2024-54488: Benjamin Hornbeck, Skadz (@skadz108), Chi Yuan Chang (ZUSO ART) és taikosoup
Bejegyzés hozzáadva: 2025. január 27.
FontParser
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54486: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative
ImageIO
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54500: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)
Kernel
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54468: anonim kutató
Bejegyzés hozzáadva: 2025. január 27.
Kernel
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: A támadók bizonyos esetekben olyan csak olvasható memórialeképezést tudtak létrehozni, amelybe lehetett írni
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-54494: sohybbyk
Kernel
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)
Kernel
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44245: anonim kutató
libarchive
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadáshoz vezethet.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44201: Ben Roeder
libexpat
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: A távoli támadók bizonyos esetekben váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges kódot tudtak futtatni
Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.
CVE-2024-45490
Libnotify
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Az appok rendszerértesítéseket tudtak utánozni. Az érzékeny értesítésekhez mostantól korlátozott jogosultságokra van szükség.
CVE-2025-24091: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Bejegyzés hozzáadva: 2025. április 30.
libxpc
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-44225: 风沐云烟 (@binary_fmyy)
Passwords
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: A kiváltságos hálózati pozícióban lévő támadók adott esetben módosítani tudták a hálózati forgalmat
Leírás: Az információk hálózati továbbítása során HTTPS használatával megoldottuk a problémát.
CVE-2024-54492: Talal Haj Bakry és Tommy Mysk (Mysk Inc., @mysk_co)
Safari
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Ha a készüléken engedélyezve volt a Privát átjátszó, és hozzáadtak egy webhelyet a Safari olvasási listájához, előfordult, hogy a rendszer felfedte a webhelynek a forrás IP-címét
Leírás: A Safari által biztosított kérelmek útválasztásának javításával megoldottuk a problémát.
CVE-2024-44246: Jacob Braun
SceneKit
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az ártó szándékkal létrehozott fájlok feldolgozása szolgáltatásmegtagadást idézhetett elő.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-54501: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
VoiceOver
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Az iPadOS-készülékhez fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről meg tudták tekinteni az értesítések tartalmát.
Leírás: További logika hozzáadásával megoldottuk a problémát.
CVE-2024-54485: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram, India)
WebKit
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit
A következőkhöz érhető el: 2. generációs 12,9 hüvelykes iPad Pro, 10,5 hüvelykes iPad Pro, 6. generációs iPad
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása memóriasérülést idézett elő
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
További köszönetnyilvánítás
Proximity
Köszönjük Junming C. (@Chapoly1305) és Prof. Qiang Zeng (George Mason University) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.