Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
iOS 16.7.6 og iPadOS 16.7.6
Utgitt 5. mars 2024
Accessibility
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan forfalske systemvarslinger og brukergrensesnitt
Beskrivelse: Problemet ble løst gjennom ytterligere rettighetskontroller.
CVE-2024-23262: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
Oppføring lagt til 7. mars 2024
CoreCrypto
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En angriper kan være i stand til å dekryptere tekst som bruker eldre RSA PKCS#1 v1.5-kryptering, uten den private nøkkelen
Beskrivelse: Et timingsidekanal-problem løst gjennom forbedringer for konstant tidsberegning i kryptografiske funksjoner.
CVE-2024-23218: Clemens Lang
Oppføring lagt til 7. mars 2024
ImageIO
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av et bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Oppføring lagt til 7. mars 2024
ImageIO
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av bilder kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-23257: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 7. mars 2024
Kernel
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå beskyttelsen for kjerneminnet. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet.
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2024-23225
Kernel
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan få tilgang til sensitiv brukerinformasjon
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2024-23235
Oppføring lagt til 7. mars 2024
Kernel
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2024-23265: Xinru Chi fra Pangu Lab
Oppføring lagt til 7. mars 2024
libxpc
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23278: en anonym forsker
Oppføring lagt til 7. mars 2024
MediaRemote
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Dette problemet ble løst med forbedret sladding av sensitiv informasjon.
CVE-2023-28826: Meng Zhang (鲸落) fra NorthSea
Oppføring lagt til 7. mars 2024
Metal
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 7. mars 2024
Notes
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-23283
Oppføring lagt til 7. mars 2024
Safari
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av nettinnhold kan føre til tjenestenekt
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23259: Lyra Rebane (rebane2001)
Oppføring lagt til 7. mars 2024
Share Sheet
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Et personvernproblem ble løst gjennom forbedret sensurering av private data i loggoppføringer.
CVE-2024-23231: Kirin (@Pwnrin) og luckyu (@uuulucky)
Oppføring lagt til 7. mars 2024
Shortcuts
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
CVE-2024-23203: en anonym forsker
Oppføring lagt til 7. mars 2024
Siri
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En person med fysisk tilgang til en enhet kan være i stand til å bruke Siri til å få tilgang til privat kalenderinformasjon
Beskrivelse: Et problem med låseskjermen ble løst gjennom forbedret tilstandshåndtering.
CVE-2024-23289: Lewis Hardy
Oppføring lagt til 7. mars 2024
UIKit
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: En app kan bryte ut av sandkassen
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2024-23246: Deutsche Telekom Security GmbH sponset av Bundesamt für Sicherheit in der Informationstechnik
Oppføring lagt til 7. mars 2024
WebKit
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber og Marco Squarcina
Oppføring lagt til 7. mars 2024
WebKit
Tilgjengelig for: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generasjon), 9,7-tommers iPad Pro og 12,9-tommers iPad Pro (1. generasjon)
Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Oppføring lagt til 7. mars 2024