Om sikkerhetsinnholdet i iOS 16.7.8 og iPadOS 16.7.8.
Dette dokumentet beskriver sikkerhetsinnholdet i iOS 16.7.8 og iPadOS 16.7.8.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 16.7.8 og iPadOS 16.7.8
Utgitt 13. mai 2024
Core Data
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem ble løst ved å forbedre valideringen av miljøvariabler.
CVE-2024-27805: Kirin (@Pwnrin) og 小来来 (@Smi1eSEC)
Oppføring lagt til 10. juni 2024
CoreMedia
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Et program kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27817: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
Oppføring lagt til 10. juni 2024
CoreMedia
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av en fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27831: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations
Oppføring lagt til 10. juni 2024
Foundation
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En uprivilegert app kan logge tastetrykk i andre apper, også apper som bruker sikker inntastingsmodus
Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.
CVE-2024-27799: en anonym forsker
Oppføring lagt til 10. juni 2024
Kernel
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En bruker kan forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27818: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
Oppføring lagt til 10. juni 2024
Kernel
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan forbigå kjerneminnebeskyttelser
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27840: en anonym forsker
Oppføring lagt til 10. juni 2024
Kernel
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En angriper med en nettverksplassering med rettigheter kan være i stand til å forfalske nettverkspakker
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2024-27823: Prof. Benny Pinkas fra Bar-Ilan University, Prof. Amit Klein fra Hebrew University og EP
Oppføring lagt til 29. juli 2024
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En angriper med fysisk tilgang kan lekke legitimasjon til Mail-kontoer.
Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2024-23251: Gil Pedersen
Oppføring lagt til 10. juni 2024
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En skadelig e-post kan starte FaceTime-samtaler uten brukergodkjenning
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Oppføring lagt til 10. juni 2024
Messages
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av en skadelig melding kan føre til tjenestenekt
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2024-27800: Daniel Zajork og Joshua Zajork
Oppføring lagt til 10. juni 2024
Metal
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 10. juni 2024
RTKit
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En angriper med muligheter for utilsiktet lesing og skriving til kjernen kan forbigå beskyttelser av kjerneminnet. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2024-23296
Shortcuts
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27855: en anonym forsker
Oppføring lagt til 10. juni 2024
Spotlight
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.
CVE-2024-27806
Oppføring lagt til 10. juni 2024
Symptom Framework
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan omgå logging av personvernrapport for app
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27807: Romy R.
Oppføring lagt til 10. juni 2024
Sync Services
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27847: Mickey Jin (@patch1t)
Oppføring lagt til 10. juni 2024
Voice Control
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En bruker kan være i stand til å utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27796: ajajfxhj
Oppføring lagt til 10. juni 2024
WebKit
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon
Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos of Mozilla
Oppføring lagt til 10. juni 2024
WebKit
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 10. juni 2024
WebKit
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En ondsinnet angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) i samarbeid med Trend Micro's Zero Day Initiative
Oppføring lagt til 10. juni 2024
WebKit Web Inspector
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson fra underpassapp.com
Oppføring lagt til 10. juni 2024
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.