Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
iOS 17.4 oraz iPadOS 17.4
Wydano 5 marca 2024 r.
Accessibility
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-23243: Cristian Dinca z Tudor Vianu National High School of Computer Science, Rumunia
Accessibility
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie sfałszować powiadomienia systemowe i interfejs użytkownika.
Opis: ten błąd naprawiono przez dodatkowe sprawdzanie uprawnień.
CVE-2024-23262: Guilherme Rambo z Best Buddy Apps (rambo.codes)
Wpis dodano 7 marca 2024 r.
Accessibility
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwa aplikacja może obserwować dane użytkownika we wpisach dziennika związanych z powiadomieniami o dostępności.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-23291
Wpis dodano 7 marca 2024 r.
AppleMobileFileIntegrity
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2024-23288: Wojciech Reguła z SecuRing (wojciechregula.blog) i Kirin (@Pwnrin)
Wpis dodano 7 marca 2024 r.
Bluetooth
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie wprowadzić naciśnięcia klawiszy, podszywając się pod klawiaturę.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23277: Marc Newlin ze SkySafe
Wpis dodano 7 marca 2024 r.
CoreBluetooth - LE
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może uzyskać dostęp do mikrofonów podłączonych przez Bluetooth bez zgody użytkownika.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
CVE-2024-23250: Guilherme Rambo z Best Buddy Apps (rambo.codes)
Wpis dodano 7 marca 2024 r.
ExtensionKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-23205
Wpis dodano 7 marca 2024 r.
file
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-48554
Wpis dodano 7 marca 2024 r.
Image Processing
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-23270: anonimowy badacz
Wpis dodano 7 marca 2024 r.
ImageIO
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Wpis dodano 7 marca 2024 r.
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca mająca możliwość dowolnego odczytu i zapisu jądra może być w stanie ominąć zabezpieczenia pamięci jądra. Apple ma świadomość, że problem mógł być wykorzystywany.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2024-23225
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2024-23235
Wpis dodano 7 marca 2024 r.
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
CVE-2024-23265: Xinru Chi z Pangu Lab
Wpis dodano 7 marca 2024 r.
libxpc
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23278: anonimowy badacz
Wpis dodano 7 marca 2024 r.
libxpc
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z piaskownicy lub z niektórymi podwyższonymi uprawnieniami.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-0258: ali yabuz
Wpis dodano 7 marca 2024 r.
MediaRemote
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23297: scj643
Wpis dodano 7 marca 2024 r.
Messages
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.
CVE-2024-23287: Kirin (@Pwnrin)
Wpis dodano 7 marca 2024 r.
Metal
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2024-23264: Meysam Firouzi @R00tkitsmm w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 7 marca 2024 r.
Photos
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: funkcja Potrząsanie cofa może pozwolić na ponowne wyświetlenie usuniętego zdjęcia bez uwierzytelnienia.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23240: Harsh Tyagi
Wpis dodano 7 marca 2024 r.
Photos
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: zdjęcia w albumie Ukryte zdjęcia można przeglądać bez uwierzytelniania.
Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.
CVE-2024-23255: Harsh Tyagi
Wpis dodano 7 marca 2024 r.
RTKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca mająca możliwość dowolnego odczytu i zapisu jądra może być w stanie ominąć zabezpieczenia pamięci jądra. Apple ma świadomość, że problem mógł być wykorzystywany.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2024-23296
Safari
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: ten problem rozwiązano przez poprawienie obsługi pamięci podręcznych.
CVE-2024-23220
Wpis dodano 7 marca 2024 r.
Safari
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23259: Lyra Rebane (rebane2001)
Wpis dodano 7 marca 2024 r.
Safari Private Browsing
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: zablokowane karty użytkownika mogą być przez chwilę widoczne podczas przełączania grup kart, gdy włączona jest funkcja Zablokowane przeglądanie prywatne.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2024-23256: Om Kothawade
Safari Private Browsing
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: dostęp do kart przeglądania prywatnego można uzyskać bez uwierzytelnienia.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-23273: Matej Rabzelj
Wpis dodano 7 marca 2024 r.
Sandbox
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.
CVE-2024-23239: Mickey Jin (@patch1t)
Wpis dodano 7 marca 2024 r.
Sandbox
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2024-23290: Wojciech Reguła z SecuRing (wojciechregula.blog)
Wpis dodano 7 marca 2024 r.
Share Sheet
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-23231: Kirin (@Pwnrin) i luckyu (@uuulucky)
Wpis dodano 7 marca 2024 r.
Shortcuts
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do informacji o kontaktach użytkownika.
Opis: ten błąd naprawiono przez ulepszenie ochrony danych.
CVE-2024-23292: K宝 i LFY@secsys z Fudan University
Wpis dodano 7 marca 2024 r.
Siri
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba z fizycznym dostępem do urządzenia może być w stanie użyć Siri w celu uzyskania dostępu do informacji w kalendarzu prywatnym.
Opis: naprawiono błąd ekranu blokady przez poprawienie procedury zarządzania stanem.
CVE-2024-23289: Lewis Hardy
Wpis dodano 7 marca 2024 r.
Siri
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca z fizycznym dostępem może być w stanie użyć Siri w celu uzyskania dostępu do poufnych danych użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-23293: Bistrit Dahal
Wpis dodano 7 marca 2024 r.
Spotlight
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-23241
Wpis dodano 7 marca 2024 r.
Synapse
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do danych aplikacji Poczta.
Opis: rozwiązano problem dotyczący prywatności przez nierejestrowanie zawartości pól tekstowych.
CVE-2024-23242
Wpis dodano 7 marca 2024 r.
UIKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2024-23246: Deutsche Telekom Security GmbH sponsorowane przez Bundesamt für Sicherheit in der Informationstechnik
Wpis dodano 7 marca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
Wpis dodano 7 marca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwie spreparowana witryna internetowa może skrycie wyprowadzać dane audio między różnymi źródłami.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
Wpis dodano 7 marca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Wpis dodano 7 marca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: naprawiono błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności.
WebKit Bugzilla: 266703
CVE-2024-23280: anonimowy badacz
Wpis dodano 7 marca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber i Marco Squarcina
Wpis dodano 7 marca 2024 r.
Dodatkowe podziękowania
AirDrop
Dziękujemy za udzieloną pomoc: Cristian Dinca z Tudor Vianu National High School of Computer Science, Rumunia.
CoreAnimation
Dziękujemy za udzieloną pomoc: Junsung Lee.
Wpis dodano 7 marca 2024 r.
CoreMotion
Dziękujemy za udzieloną pomoc: Eric Dorphy z Twin Cities App Dev LLC
Wpis dodano 7 marca 2024 r.
Find My
Dziękujemy za udzieloną pomoc: Meng Zhang (鲸落) z NorthSea.
Wpis dodano 7 marca 2024 r.
Kernel
Dziękujemy za udzieloną pomoc: Tarek Joumaa (@tjkr0wn) i 이준성(Junsung Lee).
Wpis dodano 7 marca 2024 r.
libxml2
Dziękujemy za udzieloną pomoc: OSS-Fuzz i Ned Williamson z Google Project Zero.
Wpis dodano 7 marca 2024 r.
libxpc
Dziękujemy za udzieloną pomoc: Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) i anonimowy badacz.
Wpis dodano 7 marca 2024 r.
Mail Conversation View
Dziękujemy anonimowemu badaczowi za pomoc.
NetworkExtension
Dziękujemy za udzieloną pomoc: Mathy Vanhoef (KU Leuven University).
Photos
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Wpis dodano 7 marca 2024 r.
Power Management
Dziękujemy za udzieloną pomoc: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Wpis dodano 7 marca 2024 r.
Safari
Dziękujemy za udzieloną pomoc: Abhinav Saraswat i Matthew C.
Wpis dodano 7 marca 2024 r.
Sandbox
Dziękujemy za udzieloną pomoc: Zhongquan Li (@Guluisacat).
Wpis dodano 7 marca 2024 r.
Ustawienia
Dziękujemy za udzieloną pomoc: Christian Scalese, Logan Ramgoon, Lucas Monteiro, Daniel Monteiro, Felipe Monteiro i Peter Watthey.
Siri
Dziękujemy za udzieloną pomoc: Bistrit Dahal.
Wpis dodano 7 marca 2024 r.
Software Update
Dziękujemy za udzieloną pomoc: Bin Zhang z Dublin City University.
Wpis dodano 7 marca 2024 r.
WebKit
Dziękujemy za udzieloną pomoc: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina i Lorenzo Veronese z TU Wien.
Wpis dodano 7 marca 2024 r.