Az iOS 17.2 és az iPadOS 17.2 biztonsági változásjegyzéke

Ez a dokumentum az iOS 17.2 és az iPadOS 17.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 17.2 és iPadOS 17.2

Kiadás dátuma: 2023. december 11.

Accessibility

A következőkön érhető el: iPhone XS és újabb modellek, 12,9 hüvelykes, 2. generációs és újabb iPad Pro, 10,5 hüvelykes, iPad Pro, 11 hüvelykes, 1. generációs és újabb iPad Pro, 3. generációs és újabb iPad Air, 6. generációs és újabb iPad, valamint 5. generációs és újabb iPad mini

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-42937: Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab)

Bejegyzés hozzáadva: 2024. január 22.

Accounts

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2023-42919: Kirin (@Pwnrin)

Assets

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével hárítottunk el egy problémát.

CVE-2023-42896: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2024. március 22.

AVEVideoEncoder

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2023-42884: anonim kutató

Bluetooth

Érintett terület: A magas hálózati jogosultságú támadók billentyűleütéseket illeszthettek be egy billentyűzet meghamisításával.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-45866: Marc Newlin (SkySafe)

Bejegyzés hozzáadva: 2023. december 11.

Bluetooth

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni létrehozott Bluetooth-csomagok segítségével.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-42941: Christopher Reynolds

Bejegyzés hozzáadva: 2024. január 10.

CallKit

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát

CVE-2023-42962: Aymane Chabat

Bejegyzés hozzáadva: 2024. március 22.

Find My

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2023-42922: Wojciech Regula (SecuRing; wojciechregula.blog)

ImageIO

Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-42898: Zhenjiang Zhao (Pangu Team, Qianxin) és Junsung Lee

CVE-2023-42899: Meysam Firouzi (@R00tkitSMM) és Junsung Lee

Bejegyzés frissítve: 2024. március 22.

ImageIO

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozása lehetőséget adott a folyamatmemória közzétételére

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-42888: Michael DePlante (@izobashi), Trend Micro Zero Day Initiative

Bejegyzés hozzáadva: 2024. január 22.

IOUSBDeviceFamily

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.)

Bejegyzés frissítve: 2024. március 22.

Kernel

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb, Synacktiv @Synacktiv)

Libsystem

Érintett terület: Egyes alkalmazások képesek voltak védett felhasználói adatokhoz hozzáférni.

Leírás: Elhárítottunk egy engedélyekkel kapcsolatos hibát a sebezhető kód eltávolításával és további ellenőrzések hozzáadásával.

CVE-2023-42893

Bejegyzés hozzáadva: 2024. március 22.

Safari Private Browsing

Érintett terület: A privát böngészés lapjai hitelesítés nélkül is elérhetők.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2023-42923: ARJUN S D

Sandbox

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2023-42936

Bejegyzés hozzáadva: 2024. március 22.

Siri

Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2023-42897: Andrew Goldberg (The McCombs School of Business), The University (Texas at Austin, linkedin.com/andrew-goldberg-/)

TCC

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2023-42947: Zhongquan Li (@Guluisacat, Dawn Security Lab, JingDong)

Bejegyzés hozzáadva: 2024. március 22.

WebKit

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute) és rushikesh nandedkar

Bejegyzés hozzáadva: 2024. március 22.

WebKit

Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)

Bejegyzés hozzáadva: 2024. március 22.

További köszönetnyilvánítás

Safari Private Browsing

Köszönjük Joshua Lund (Signal Technology Foundation) és Iakovos Gurulian segítségét.

Bejegyzés frissítve: 2024. március 22.

Setup Assistant

Köszönjük Aaron Gregory (Acoustic.com és Eastern Illinois University – Graduate School of Technology) segítségét.

WebKit

Köszönjük 椰椰 segítségét.

WebSheet

Köszönjük Paolo Ruggero (e-phors S.p.A., A FINCANTIERI S.p.A. Company) segítségét.

Bejegyzés hozzáadva: 2024. március 22.

Wi-Fi

Köszönjük Noah Roskin-Frazee és Prof. J. (ZeroClicks.ai Lab) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2024. április 02.