Despre conținutul de securitate din iOS 17.7 și iPadOS 17.7

Acest document descrie conținutul de securitate din iOS 17.7 și iPadOS 17.7.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile lansate recent sunt prezentate pe pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

iOS 17.7 și iPadOS 17.7

Lansare: 16 septembrie 2024

Accessibility

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 13 inchi, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: un atacator cu acces fizic la un dispozitiv blocat ar putea utiliza Control dispozitive din apropiere prin intermediul funcțiilor de accesibilitate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44171: Jake Derouin

Compression

Impact: despachetarea unei arhive create cu rea intenție poate permite unui atacator să scrie fișiere arbitrare

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-27876: Snoolie Keffaber (@0xilis)

Game Center

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces la fișiere a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27880: Junsung Lee

ImageIO

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44176: dw0r de la ZeroPointer Lab în colaborare cu Trend Micro Zero Day Initiative, un cercetător anonim

IOSurfaceAccelerator

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44169: Antonio Zekić

Kernel

Impact: traficul de rețea s-ar putea scurge în afara unui tunel VPN

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44165: Andrew Lytvynov

Kernel

Impact: o aplicație poate obține acces neautorizat la Bluetooth

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

Mail Accounts

Impact: o aplicație poate accesa informații despre contactele unui utilizator

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2024-40791: Rodolphe BRUNETTI (@eisw0lf)

mDNSResponder

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o eroare de logică a fost rezolvată prin îmbunătățirea gestionării erorilor.

CVE-2024-44183: Olivier Levon

Safari Private Browsing

Impact: filele de navigare privată pot fi accesate fără autentificare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44127: Anamika Adhikari

Shortcuts

Impact: o scurtătură poate fi capabilă să trimită date sensibile despre utilizator fără acordul acestuia

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2024-44158: Kirin (@Pwnrin)

Shortcuts

Impact: o aplicație poate observa datele afișate utilizatorului prin Scurtături

Descriere: a fost rezolvată o problemă de confidențialitate printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2024-40844: Kirin (@Pwnrin) și luckyu (@uuulucky) de la NorthSea

Sync Services

Impact: o aplicație poate să ocolească preferințele de confidențialitate

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-44164: Mickey Jin (@patch1t)

Transparency

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-44184: Bohdan Stasiuk (@Bohdan_Stasiuk)

UIKit

Impact: un atacator ar putea cauza închiderea neașteptată a aplicației

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

CVE-2024-27879: Justin Cohen

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 20 septembrie 2024