Zawartość związana z zabezpieczeniami w systemach iOS 17.3 i iPadOS 17.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemach iOS 17.3 i iPadOS 17.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iOS 17.3 i iPadOS 17.3

Wydano 22 stycznia 2024 r.

Apple Neural Engine

Dostępne dla urządzeń z układem Apple Neural Engine: iPhone’a XS i nowszych, iPada Pro 12,9 cala 3. generacji i nowszych, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 8. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-23212: Ye Zhang z Baidu Security

CoreCrypto

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: osoba atakująca może być w stanie odszyfrować starsze teksty zaszyfrowane zgodnie ze standardem RSA PKCS#1 v1.5 bez znajomości klucza prywatnego.

Opis: naprawiono błąd związany z taktowaniem kanału bocznego przez ulepszenia obliczeń czasu stałego w funkcjach kryptograficznych.

CVE-2024-23218: Clemens Lang

Kernel

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-23208: fmyy(@binary_fmyy) i lime z zespołu TIANGONG Team of Legendsec grupy QI-ANXIN Group

libxpc

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”

Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2024-23201: Koh M. Nakagawa z FFRI Security, Inc. i anonimowy badacz

Wpis dodano 7 marca 2024 r.

Mail Search

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-23207: Noah Roskin-Frazee, Prof. J. (ZeroClicks.ai Lab) oraz Ian de Marcellus

Notes

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: zablokowana zawartość notatek mogła zostać nieoczekiwanie odblokowana.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-23228: Harsh Tyagi

Wpis dodano 24 kwietnia 2024 r.

NSSpellChecker

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików.

CVE-2024-23223: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

Power Manager

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uszkodzić pamięć koprocesora.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.

Wpis dodano 24 kwietnia 2024 r.

Reset Services

Dostępne dla: iPhone’a XS i nowszego

Zagrożenie: funkcja Ochrona skradzionego urządzenia może zostać nieoczekiwanie wyłączona.

Opis: ten błąd naprawiono przez ulepszenie uwierzytelniania.

CVE-2024-23219: Peter Watthey i Christian Scalese

Safari

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aktywność użytkownika realizowana w trybie przeglądania prywatnego może być widoczna w Ustawieniach.

Opis: problem dotyczący prywatności rozwiązano przez poprawienie obsługi preferencji użytkownika.

CVE-2024-23211: Mark Bowers

Shortcuts

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: skrót może używać poufnych danych do wykonywania pewnych czynności bez monitowania użytkownika.

Opis: błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania uprawnień.

CVE-2024-23203: anonimowy badacz

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie ominąć niektóre preferencje dotyczące prywatności.

Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem przez ulepszenie obsługi plików tymczasowych.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: aplikacja może być w stanie wyświetlić numer telefonu użytkownika w dziennikach systemowych.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-23210: Noah Roskin-Frazee i Prof. J. (ZeroClicks.ai Lab)

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.

WebKit Bugzilla: 262699

CVE-2024-23206: anonimowy badacz

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

WebKit Bugzilla: 266619

CVE-2024-23213: Wangtaiyu z Zhongfu info

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

WebKit Bugzilla: 265129

CVE-2024-23214: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być wykorzystywany.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.

WebKit Bugzilla: 267134

CVE-2024-23222

WebKit

Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych

Zagrożenie: złośliwie spreparowana witryna internetowa może powodować nieoczekiwane działanie związane z obsługą zewnętrznych źródeł.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

WebKit Bugzilla: 265812

CVE-2024-23271: James Lee (@Windowsrcer)

Wpis dodano 24 kwietnia 2024 r.

Dodatkowe podziękowania

NetworkExtension

Dziękujemy za udzieloną pomoc: Nils Rollshausen.

Wpis dodano 24 kwietnia 2024 r.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: