Despre conținutul de securitate din iOS 17.2 și iPadOS 17.2
Acest document descrie conținutul de securitate din iOS 17.2 și iPadOS 17.2.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
iOS 17.2 și iPadOS 17.2
Lansare: 11 decembrie 2023
Accessibility
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42937: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)
Intrare adăugată pe 22 ianuarie 2024
Accounts
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere
Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.
CVE-2023-42896: Mickey Jin (@patch1t)
Intrare adăugată pe 22 martie 2024
AVEVideoEncoder
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate să divulge conținutul memoriei kernel
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42884: un cercetător anonim
Bluetooth
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: un atacator într-o poziție privilegiată în rețea poate fi capabil să inducă apăsări de taste falsificând o tastatură
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-45866: Marc Newlin de la SkySafe
Intrare adăugată pe 11 decembrie 2023
Bluetooth
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: un atacator într-o poziție privilegiată în rețea poate fi capabil să efectueze un atac de refuzare a serviciului folosind pachete Bluetooth create cu rea intenție
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42941: Christopher Reynolds
Intrare adăugată pe 10 ianuarie 2024
CallKit
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite
CVE-2023-42962: Aymane Chabat
Intrare adăugată pe 22 martie 2024
Find My
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42922: Wojciech Regula (SecuRing) (wojciechregula.blog)
ImageIO
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42898: Zhenjiang Zhao de la Pangu Team, Qianxin și Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee
Intrare actualizată pe 22 martie 2024
ImageIO
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2023-42888: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)
Intrare adăugată pe 22 ianuarie 2024
IOUSBDeviceFamily
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.
Intrare actualizată pe 22 martie 2024
Kernel
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate evada din sandbox
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)
Libsystem
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate accesa date protejate despre utilizator
Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.
CVE-2023-42893
Intrare adăugată pe 22 martie 2024
Safari Private Browsing
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: filele de navigare privată pot fi accesate fără autentificare
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2023-42923: ARJUN S D
Sandbox
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.
CVE-2023-42936: Csaba Fitzl (@theevilbit) de la OffSec
Intrare adăugată pe 22 martie 2024, actualizată pe 16 iulie 2024
Siri
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2022-42897: Andrew Goldberg (The McCombs School of Business, The University of Texas, Austin) (linkedin.com/andrew-goldberg-/)
TCC
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate evada din sandbox
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab (JingDong)
Intrare adăugată pe 22 martie 2024
Transparency
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: problema a fost remediată prin îmbunătățirea restricției accesului la containerul de date
CVE-2023-40389: Csaba Fitzl (@theevilbit) din cadrul Offensive Security și Joshua Jewett (@JoshJewett33)
Intrare adăugată pe 16 iulie 2024
WebKit
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de la 360 Vulnerability Research Institute și rushikesh nandedkar
Intrare adăugată pe 22 martie 2024
WebKit
Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)
Impact: procesarea unui conținut web poate cauza o refuzare a serviciului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Intrare adăugată pe 22 martie 2024
Alte mențiuni
Safari Private Browsing
Dorim să îi mulțumim lui Joshua Lund de la Signal Technology Foundation și lui Iakovos Gurulian pentru asistența acordată.
Intrare actualizată pe 22 martie 2024
Setup Assistant
Dorim să îi mulțumim lui Aaron Gregory de la Acoustic.com și Eastern Illinois University – Graduate School of Technology pentru asistență.
WebKit
Dorim să-i mulțumim lui 椰椰 pentru asistența acordată.
WebSheet
Dorim să îi mulțumim lui Paolo Ruggero de la e-phors S.p.A. (compania A FINCANTIERI S.p.A.) pentru asistența acordată.
Intrare adăugată pe 22 martie 2024
Wi-Fi
Dorim să le mulțumim lui Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.