Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
iOS 17.5 i iPadOS 17.5
Wydano 13 maja 2024 r.
AppleAVD
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Wpis uaktualniono 15 maja 2024 r.
AppleMobileFileIntegrity
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca może być w stanie uzyskać dostęp do danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2024-27816: Mickey Jin (@patch1t)
AVEVideoEncoder
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-27841: anonimowy badacz
Core Data
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania poprawności zmiennych środowiskowych.
CVE-2024-27805: Kirin (@Pwnrin) i 小来来 (@Smi1eSEC)
Wpis dodano 10 czerwca 2024 r.
CoreMedia
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27817: pattern-f (@pattern_F_) z Ant Security Light-Year Lab
Wpis dodano 10 czerwca 2024 r.
CoreMedia
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-27831: Amir Bazine i Karsten König z CrowdStrike Counter Adversary Operations
Wpis dodano 10 czerwca 2024 r.
Disk Images
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27832: anonimowy badacz
Wpis dodano 10 czerwca 2024 r.
Find My
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie ustalić bieżącą lokalizację użytkownika.
Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych do bezpieczniejszej lokalizacji.
CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) i Shai Mishali (@freak4pc)
Foundation
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27801: CertiK SkyFall Team
Wpis dodano 10 czerwca 2024 r.
ImageIO
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27836: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 10 czerwca 2024 r.
IOSurface
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Wpis dodano 10 czerwca 2024 r.
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-27818: pattern-f (@pattern_F_) z Ant Security Light-Year Lab
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca, która zaimplementowała już wykonywanie kodu jądra, może być w stanie ominąć środki chroniące pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-27840: anonimowy badacz
Wpis dodano 10 czerwca 2024 r.
Kernel
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-27815: anonimowy badacz i Joseph Ravichandran (@0xjprx) z MIT CSAIL
Wpis dodano 10 czerwca 2024 r.
libiconv
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27811: Nick Wellnhofer
Wpis dodano 10 czerwca 2024 r.
Libsystem
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do chronionych danych użytkownika.
Opis: naprawiono błąd uprawnień przez usunięcie kodu związanego z luką w zabezpieczeniach i wprowadzenie dodatkowych procedur sprawdzania.
CVE-2023-42893: anonimowy badacz
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca mająca fizyczny dostęp może być w stanie doprowadzić do wycieku poświadczeń z aplikacji Poczta.
Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.
CVE-2024-23251: Gil Pedersen
Wpis dodano 10 czerwca 2024 r.
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwie spreparowana wiadomość e-mail może być w stanie zainicjować połączenia FaceTime bez autoryzacji użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Wpis dodano 10 czerwca 2024 r.
Maps
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2024-27810: LFY@secsys z Fudan University
MarketplaceKit
Dostępne dla: iPhone’a XS i nowszego
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie dystrybuować skrypt śledzący użytkowników na innych stronach.
Opis: rozwiązano problem z prywatnością przez poprawienie obsługi identyfikatora klienta w alternatywnych sklepach z aplikacjami.
CVE-2024-27852: Talal Haj Bakry i Tommy Mysk z Mysk Inc. (@mysk_co)
Messages
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2024-27800: Daniel Zajork i Joshua Zajork
Wpis dodano 10 czerwca 2024 r.
Metal
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 10 czerwca 2024 r.
Metal
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2024-27857: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 10 czerwca 2024 r.
Notes
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca mająca fizyczny dostęp do urządzenia z systemem iOS może uzyskać dostęp do notatek z poziomu ekranu blokady.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-27835: Andr.Ess
Notes
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do załączników w aplikacji Notatki.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.
CVE-2024-27845: Adam Berry
Wpis dodano 10 czerwca 2024 r.
RemoteViewServices
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca może być w stanie uzyskać dostęp do danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2024-27816: Mickey Jin (@patch1t)
Screenshots
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca mająca fizyczny dostęp może udostępniać elementy z poziomu ekranu blokady.
Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.
CVE-2024-27803: anonimowy badacz
Shortcuts
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: skrót może wyświetlić poufne dane użytkownika bez jego zgody.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2024-27821: Kirin (@Pwnrin), zbleet i Csaba Fitzl (@theevilbit) z Kandji
Shortcuts
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: skrót może używać poufnych danych do wykonywania pewnych czynności bez monitowania użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27855: anonimowy badacz
Wpis dodano 10 czerwca 2024 r.
Siri
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca mająca fizyczny dostęp może być w stanie uzyskać dostęp do kontaktów z poziomu ekranu blokady.
Opis: ten błąd usunięto przez ograniczenie opcji oferowanych na zablokowanym urządzeniu.
CVE-2024-27819: Srijan Poudel
Wpis dodano 10 czerwca 2024 r.
Spotlight
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez poprawienie procedury oczyszczania środowiska.
CVE-2024-27806
Wpis dodano 10 czerwca 2024 r.
StorageKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: ten błąd naprawiono przez poprawienie sprawdzania uprawnień.
CVE-2024-27848: Csaba Fitzl (@theevilbit) z Kandji
Wpis dodano 10 czerwca 2024 r.
Symptom Framework
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie obejść rejestrowanie raportu prywatności aplikacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27807: Romy R.
Wpis dodano 10 czerwca 2024 r.
Sync Services
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie sprawdzania
CVE-2024-27847: Mickey Jin (@patch1t)
Voice Control
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27796: ajajfxhj
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: osoba atakująca mająca możliwość dowolnego odczytu i zapisu może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication).
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos z Mozilla
Wpis dodano 10 czerwca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard z CISPA Helmholtz Center for Information Security
Wpis dodano 10 czerwca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: ten błąd naprawiono przez ulepszenia w algorytmie wstawiania szumu.
WebKit Bugzilla: 270767
CVE-2024-27850: anonimowy badacz
Wpis dodano 10 czerwca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 10 czerwca 2024 r.
WebKit
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute
Wpis dodano 10 czerwca 2024 r.
WebKit Canvas
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) z Crawless i @abrahamjuliot
Wpis dodano 10 czerwca 2024 r.
WebKit Web Inspector
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 13 cali, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacji i nowszych
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson z underpassapp.com
Wpis dodano 10 czerwca 2024 r.
Dodatkowe podziękowania
App Store
Dziękujemy anonimowemu badaczowi za pomoc.
AppleMobileFileIntegrity
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Wpis dodano 10 czerwca 2024 r.
CoreHAP
Dziękujemy za udzieloną pomoc: Adrian Cable.
Disk Images
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Wpis dodano 10 czerwca 2024 r.
Face ID
Dziękujemy za udzieloną pomoc: Lucas Monteiro, Daniel Monteiro i Felipe Monteiro.
HearingCore
Dziękujemy anonimowemu badaczowi za pomoc.
ImageIO
Dziękujemy anonimowemu badaczowi za pomoc.
Wpis dodano 10 czerwca 2024 r.
Managed Configuration
Dziękujemy za udzieloną pomoc: 遥遥领先 (@晴天组织).
ReplayKit
Dziękujemy za udzieloną pomoc: Thomas Zhao.
Wpis dodano 10 czerwca 2024 r.
Safari Downloads
Dziękujemy za udzieloną pomoc: Arsenii Kostromin (0x3c3e).
Siri
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.
Wpis dodano 10 czerwca 2024 r.
Status Bar
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal.
Transparency
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Wpis dodano 10 czerwca 2024 r.