Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
iOS 16.7.6 és iPadOS 16.7.6
Kiadás dátuma: 2024. március 5.
Accessibility
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Az alkalmazások meg tudták hamisítani a rendszerértesítéseket és a felhasználói felületet
Leírás: További jogosultságellenőrzésekkel hárítottuk el a problémát.
CVE-2024-23262: Guilherme Rambo (rambo.codes), Best Buddy Apps
Bejegyzés dátuma: 2024. március 7.
CoreCrypto
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: A támadó a magánkulcs nélkül is képes lehet visszafejteni a régi RSA PKCS#1 v1.5 által titkosított szövegeket
Leírás: A kriptográfiai függvények konstans idejű számításainak a javításával orvosoltuk egy időzítésalapú „oldalcsatornás” támadás lehetőségét.
CVE-2024-23218: Clemens Lang
Bejegyzés dátuma: 2024. március 7.
ImageIO
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Bejegyzés dátuma: 2024. március 7.
ImageIO
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-23257: Junsung Lee, a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés dátuma: 2024. március 7.
Kernel
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2024-23225
Kernel
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2024-23235
Bejegyzés dátuma: 2024. március 7.
Kernel
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.
CVE-2024-23265: Xinru Chi, Pangu Lab
Bejegyzés dátuma: 2024. március 7.
libxpc
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23278: anonim kutató
Bejegyzés dátuma: 2024. március 7.
MediaRemote
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2023-28826: Meng Zhang (鲸落), NorthSea
Bejegyzés dátuma: 2024. március 7.
Metal
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm, a Trend Micro Zero Day Initiative közreműködőjeként
Bejegyzés dátuma: 2024. március 7.
Notes
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-23283
Bejegyzés dátuma: 2024. március 7.
Safari
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: A webes tartalmak feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23259: Lyra Rebane (rebane2001)
Bejegyzés dátuma: 2024. március 7.
Share Sheet
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.
CVE-2024-23231: Kirin (@Pwnrin) és luckyu (@uuulucky)
Bejegyzés dátuma: 2024. március 7.
Shortcuts
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót
Leírás: További engedély-ellenőrzési lépésekkel küszöböltük ki a problémát.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
CVE-2024-23203: anonim kutató
Bejegyzés dátuma: 2024. március 7.
Siri
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével le tudott kérni magánjellegű naptárinformációkat
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.
CVE-2024-23289: Lewis Hardy
Bejegyzés dátuma: 2024. március 7.
UIKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-23246: Deutsche Telekom Security GmbH, a Bundesamt für Sicherheit in der Informationstechnik szponzolásával
Bejegyzés dátuma: 2024. március 7.
WebKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber és Marco Squarcina
Bejegyzés dátuma: 2024. március 7.
WebKit
A következőkhöz érhető el: iPhone 8, iPhone 8 Plus, iPhone X, 5. generációs iPad, 9,7 hüvelykes iPad Pro és 12,9 hüvelykes, 1. generációs iPad Pro
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Bejegyzés dátuma: 2024. március 7.