Despre conținutul de securitate din iOS 17.2 și iPadOS 17.2

Acest document descrie conținutul de securitate din iOS 17.2 și iPadOS 17.2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

iOS 17.2 și iPadOS 17.2

Lansare: 11 decembrie 2023

Accessibility

Disponibilitate pentru: iPhone XS și modele ulterioare, iPad Pro 12,9 inchi (a 2-a generație și modele ulterioare), iPad Pro 10,5 inchi, iPad Pro 11 inchi (prima generație și modele ulterioare), iPad Air (a 3-a generație și modele ulterioare), iPad (a 6-a generație și modele ulterioare) și iPad mini (a 5-a generație și modele ulterioare)

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-42937: Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab)

Intrare adăugată la 22 ianuarie 2024

Accounts

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă de confidențialitate prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.

CVE-2023-42919: Kirin (@Pwnrin)

Assets

Impact: o aplicație poate modifica unele componente protejate ale sistemului de fișiere

Descriere: a fost rezolvată o problemă printr-o manipulare îmbunătățită a fișierelor temporare.

CVE-2023-42896: Mickey Jin (@patch1t)

Intrare adăugată la 22 martie 2024

AVEVideoEncoder

Impact: o aplicație poate să divulge conținutul memoriei kernel

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42884: un cercetător anonim

Bluetooth

Impact: un atacator într-o poziție privilegiată în rețea poate fi capabil să inducă apăsări de taste falsificând o tastatură

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-45866: Marc Newlin de la SkySafe

Intrare adăugată la 11 decembrie 2023

Bluetooth

Impact: un atacator într-o poziție privilegiată în rețea poate fi capabil să efectueze un atac de refuzare a serviciului folosind pachete Bluetooth create cu rea intenție

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42941: Christopher Reynolds

Intrare adăugată la 10 ianuarie 2024

CallKit

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite

CVE-2023-42962: Aymane Chabat

Intrare adăugată la 22 martie 2024

Find My

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42922: Wojciech Regula (SecuRing) (wojciechregula.blog)

ImageIO

Impact: procesarea unei imagini poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42898: Zhenjiang Zhao de la Pangu Team, Qianxin și Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM și Junsung Lee

Intrare actualizată la 22 martie 2024

ImageIO

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2023-42888: Michael DePlante (@izobashi) (Trend Micro Zero Day Initiative)

Intrare adăugată la 22 ianuarie 2024

IOUSBDeviceFamily

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost tratată o condiție de rulare prin îmbunătățirea tratării stării.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.

Intrare actualizată la 22 martie 2024

Kernel

Impact: o aplicație poate evada din sandbox

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) de la Synacktiv (@Synacktiv)

Libsystem

Impact: o aplicație poate accesa date protejate despre utilizator

Descriere: a fost rezolvată o problemă legată de permisiuni prin eliminarea codului vulnerabil și adăugarea de verificări suplimentare.

CVE-2023-42893

Intrare adăugată la 22 martie 2024

Safari Private Browsing

Impact: filele de navigare privată pot fi accesate fără autentificare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2023-42923: ARJUN S D

Sandbox

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: această problemă a fost rezolvată prin îmbunătățirea ascunderii informațiilor sensibile.

CVE-2023-42936

Intrare adăugată la 22 martie 2024

Siri

Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2022-42897: Andrew Goldberg (The McCombs School of Business, The University of Texas, Austin) (linkedin.com/andrew-goldberg-/)

TCC

Impact: o aplicație poate evada din sandbox

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2023-42947: Zhongquan Li (@Guluisacat) de la Dawn Security Lab (JingDong)

Intrare adăugată la 22 martie 2024

WebKit

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) de la 360 Vulnerability Research Institute și rushikesh nandedkar

Intrare adăugată la 22 martie 2024

WebKit

Impact: procesarea unui conținut web poate cauza o refuzare a serviciului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)

Intrare adăugată la 22 martie 2024

Alte mențiuni

Safari Private Browsing

Dorim să îi mulțumim lui Joshua Lund de la Signal Technology Foundation și lui Iakovos Gurulian pentru asistența acordată.

Intrare actualizată la 22 martie 2024

Setup Assistant

Dorim să îi mulțumim lui Aaron Gregory de la Acoustic.com și Eastern Illinois University – Graduate School of Technology pentru asistență.

WebKit

Dorim să-i mulțumim lui 椰椰 pentru asistența acordată.

WebSheet

Dorim să îi mulțumim lui Paolo Ruggero de la e-phors S.p.A. (compania A FINCANTIERI S.p.A.) pentru asistența acordată.

Intrare adăugată la 22 martie 2024

Wi-Fi

Dorim să le mulțumim lui Noah Roskin-Frazee și Prof. J. (ZeroClicks.ai Lab) pentru asistența acordată.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: 02 aprilie 2024