Sobre o conteúdo de segurança do iOS 17.1 e iPadOS 17.1

Este documento descreve o conteúdo de segurança do iOS 17.1 e iPadOS 17.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

iOS 17.1 e iPadOS 17.1

Lançado em 25 de outubro de 2023

Automation

Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas (2ª geração) e posterior, iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração) e posterior, iPad Air (3ª geração) e posterior, iPad (6ª geração) e posterior, iPad mini (5ª geração) e posterior

Impacto: um app com privilégios raiz pode conseguir acessar informações privadas

Descrição: o problema foi resolvido por meio de melhorias nas verificações.

CVE-2023-42952: Zhipeng Huo (@R3dF09) do Tencent Security Xuanwu Lab (xlab.tencent.com)

Entrada adicionada em 16 de fevereiro de 2024

Contacts

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2023-41072: Wojciech Regula da SecuRing (wojciechregula.blog) e Csaba Fitzl (@theevilbit) da Offensive Security

CVE-2023-42857: Noah Roskin-Frazee e Prof. J. (ZeroClicks.ai Lab)

CoreAnimation

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40449: Tomi Tokics (@tomitokics) da iTomsn0w

Core Recents

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: o problema foi resolvido pela sanitização do registro

CVE-2023-42823

Entrada adicionada em 16 de fevereiro de 2024

FairPlay

Impacto: um app pode obter privilégios elevados

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2023-42928: Peter Nguyễn Vũ Hoàng (@peternguyen14) do STAR Labs SG Pte. Ltd.

Entrada adicionada em 16 de fevereiro de 2024

Find My

Impacto: um app pode conseguir ler informações confidenciais de localização

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-40413: Adam M.

Find My

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema relacionado à privacidade foi resolvido por meio de melhorias no processamento de arquivos.

CVE-2023-42834: Csaba Fitzl (@theevilbit) da Offensive Security

Entrada adicionada em 16 de fevereiro de 2024

Game Center

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.

CVE-2023-42953: Michael (Biscuit) Thomas - @biscuit@social.lol

Entrada adicionada em 16 de fevereiro de 2024

ImageIO

Impacto: processar uma imagem pode resultar na divulgação da memória de processamento

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40416: JZ

ImageIO

Impacto: processar uma imagem criada com códigos maliciosos pode causar o corrompimento da pilha

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2023-42848: JZ

Entrada adicionada em 16 de fevereiro de 2024

IOTextEncryptionFamily

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40423: um pesquisador anônimo

Kernel

Impacto: um invasor que já conseguiu a execução do código do kernel pode ignorar as reduções da memória do kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-42849: Linus Henze da Pinauten GmbH (pinauten.de)

libc

Impacto: processar uma entrada criada com códigos maliciosos pode resultar na execução arbitrária de códigos nos app instalados pelo usuário

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-40446: inooo

Entrada adicionada em 3 de novembro de 2023

libxpc

Impacto: um app malicioso pode obter privilégios de raiz

Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.

CVE-2023-42942: Mickey Jin (@patch1t)

Entrada adicionada em 16 de fevereiro de 2024

Mail Drafts

Impacto: o recurso Ocultar Meu E-mail pode ser desativado inesperadamente

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-40408: Grzegorz Riegel

mDNSResponder

Impacto: um dispositivo pode ser rastreado passivamente pelo endereço MAC do Wi-Fi

Descrição: o problema foi resolvido por meio da remoção do código vulnerável.

CVE-2023-42846: Talal Haj Bakry e Tommy Mysk da Mysk Inc. @mysk_co

Passkeys

Impacto: um invasor pode conseguir acessar chaves-senha sem autenticação

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2023-42847: um pesquisador anônimo

Photos

Impacto: as fotos no álbum de fotos ocultas podem ser visualizadas sem autenticação

Descrição: um problema de autenticação foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-42845: Bistrit Dahal

Entrada atualizada em 16 de fevereiro de 2024

Pro Res

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute

Pro Res

Impacto: um app pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.

CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu e Guang Gong do 360 Vulnerability Research Institute

Entrada adicionada em 16 de fevereiro de 2024

Safari

Impacto: um usuário pode não conseguir apagar itens do histórico de navegação

Descrição: o problema foi resolvido por meio de melhorias no gerenciamento dos caches.

CVE-2023-42951: Adis Alic

Entrada adicionada em 16 de fevereiro de 2024

Sandbox

Impacto: um invasor pode conseguir acessar volumes de rede conectados montados no diretório pessoal

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2023-42836: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada adicionada em 16 de fevereiro de 2024

Sandbox

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-42839: Yiğit Can YILMAZ (@yilmazcanyigit)

Entrada adicionada em 16 de fevereiro de 2024

Setup Assistant

Impacto: um invasor com acesso físico pode conseguir persistir silenciosamente um ID Apple em um dispositivo apagado

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2023-42855: Sam Lakmaker

Entrada adicionada em 16 de fevereiro de 2024

Share Sheet

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2023-42878: Kirin (@Pwnrin), Wojciech Regula da SecuRing (wojciechregula.blog) e Cristian Dinca da "Tudor Vianu" National High School of Computer Science, Romênia

Entrada adicionada em 16 de fevereiro de 2024

Siri

Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário

Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.

CVE-2023-41982: Bistrit Dahal

CVE-2023-41997: Bistrit Dahal

CVE-2023-41988: Bistrit Dahal

Entrada atualizada em 16 de fevereiro de 2024

Siri

Impacto: um app pode causar vazamento de informações confidenciais do usuário

Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.

CVE-2023-42946

Entrada adicionada em 16 de fevereiro de 2024

Status Bar

Disponível para: iPhone XS e posterior, iPad Pro de 12,9 polegadas (2ª geração e posterior), iPad Pro de 10,5 polegadas, iPad Pro de 11 polegadas (1ª geração e posterior), iPad Air (3ª geração e posterior), iPad (6ª geração e posterior) e iPad mini (5ª geração e posterior)

Impacto: um dispositivo pode não bloquear persistentemente

Descrição: o problema foi resolvido por meio de melhorias no processamento da interface do usuário.

CVE-2023-40445: Ting Ding, James Mancz, Omar Shibli, um pesquisador anônimo, Lorenzo Cavallaro e Harry Lewandowski

Weather

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido com a redação aprimorada de dados privados para entradas de registro.

CVE-2023-41254: Cristian Dinca da Tudor Vianu National High School of Computer Science, Romênia

WebKit

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 259836
CVE-2023-40447: 이준성(Junsung Lee) da Cross Republic

WebKit

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

WebKit Bugzilla: 259890
CVE-2023-41976: 이준성(Junsung Lee)

WebKit

Impacto: o processamento de conteúdo da web pode causar a execução de códigos arbitrários

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) e Vitor Pedreira (@0xvhp_) da Agile Information Security

Entrada atualizada em 16 de fevereiro de 2024

WebKit

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)

Entrada adicionada em 16 de fevereiro de 2024

WebKit

Impacto: a atividade de navegação privada de um usuário pode ser inesperadamente salva no Relatório de Privacidade do App

Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.

CVE-2023-42939: Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, Índia

Entrada adicionada em 16 de fevereiro de 2024

WebKit Process Model

Impacto: o processamento de conteúdo da web pode levar a uma negação de serviço

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

WebKit Bugzilla: 260757
CVE-2023-41983: 이준성(Junsung Lee)

Outros reconhecimentos

libarchive

Gostaríamos de agradecer a Bahaa Naamneh pela ajuda.

libxml2

Gostaríamos de agradecer a OSS-Fuzz e Ned Williamson do Google Project Zero pela ajuda.

Power Manager

Gostaríamos de agradecer a Xia0o0o0o (@Nyaaaaa_ovo) da Universidade da Califórnia, San Diego, pela ajuda.

ReplayKit

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, pela ajuda.

Entrada adicionada em 16 de fevereiro de 2024

VoiceOver

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College Of Technology Bhopal, Índia, pela ajuda.

WebKit

Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.

WebKit

Gostaríamos de agradecer a Gishan Don Ranasinghe e a um pesquisador anônimo pela ajuda.

Entrada adicionada em 16 de fevereiro de 2024

WidgetKit

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) da Lakshmi Narain College Of Technology Bhopal, Índia, pela ajuda.

Entrada adicionada em 16 de fevereiro de 2024

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 27 de fevereiro de 2024