Om sikkerhetsinnholdet i iOS 17.3 og iPadOS 17.3

Dette dokumentet beskriver sikkerhetsinnholdet i iOS 17.3 og iPadOS 17.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

iOS 17.3 og iPadOS 17.3

Apple Neural Engine

Tilgjengelig for enheter med Apple Neural Engine: iPhone XS og nyere, 12,9-tommers iPad Pro (3. generasjon og nyere), 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (8. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-23212: Ye Zhang fra Baidu Security

CoreCrypto

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En angriper kan være i stand til å dekryptere tekst som bruker eldre RSA PKCS#1 v1.5-kryptering, uten den private nøkkelen

Beskrivelse: Et timingsidekanal-problem løst gjennom forbedringer for konstant tidsberegning i kryptografiske funksjoner.

CVE-2024-23218: Clemens Lang

Kernel

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-23208: fmyy(@binary_fmyy) og lime fra TIANGONG Team of Legendsec hos QI-ANXIN Group

libxpc

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et program kan være i stand til å forårsake tjenestenekt

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-23201: Koh M. Nakagawa fra FFRI Security, Inc. og en anonym forsker

Mail Search

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-23207: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) og Ian de Marcellus

Notes

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Innholdet i Låste notater kan uventet ha blitt låst opp

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-23228: Harsh Tyagi

NSSpellChecker

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av filer.

CVE-2024-23223: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)

Power Manager

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan skade koprosessorens minne

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Reset Services

Tilgjengelig for: iPhone XS og nyere

Virkning: Tyveribeskyttelse kan deaktiveres uventet

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2024-23219: Peter Watthey og Christian Scalese

Safari

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Privat nettlesing-aktivitet for en bruker kan være synlig i Innstillinger

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av brukerinnstillinger.

CVE-2024-23211: Mark Bowers

Shortcuts

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren

Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.

CVE-2024-23203: en anonym forsker

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan være i stand til å omgå enkelte personvernpreferanser

Beskrivelse: Et problem med personvern ble løst gjennom forbedret behandling av midlertidige filer.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et problem ble løst gjennom forbedret behandling av midlertidige filer.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: En app kan kanskje se telefonnummeret til en bruker i systemlogger

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-23210: Noah Roskin-Frazee og Prof. J. (ZeroClicks.ai Lab)

WebKit

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon

Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.

CVE-2024-23206: en anonym forsker

WebKit

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-23213: Wangtaiyu fra Zhongfu info

WebKit

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2024-23214: Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute

WebKit

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2024-23222

WebKit

Tilgjengelig for: iPhone XS og nyere, 12,9-tommers iPad Pro (2. generasjon og nyere), 10,5-tommers iPad Pro, 11-tommers iPad Pro (1. generasjon og nyere), iPad Air (3. generasjon og nyere), iPad (6. generasjon og nyere) og iPad mini (5. generasjon og nyere)

Virkning: Et skadelig nettsted kan forårsake uventet oppførsel

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-23271: James Lee (@Windowsrcer)

Ytterligere anerkjennelser

NetworkExtension

Vi vil gjerne takke Nils Rollshausen for hjelpen.