Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
iOS 16.7.8 și iPadOS 16.7.8
Lansare: 13 mai 2024
Core Data
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă prin îmbunătățirea validării variabilelor de mediu.
CVE-2024-27805: Kirin (@Pwnrin) și 小来来 (@Smi1eSEC)
Adăugare intrare: luni, 10 iunie 2024
CoreMedia
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27817: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Adăugare intrare: luni, 10 iunie 2024
CoreMedia
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: procesarea unui fișier poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27831: Amir Bazine și Karsten König de la CrowdStrike Counter Adversary Operations
Adăugare intrare: luni, 10 iunie 2024
Foundation
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: O aplicație fără privilegii poate înregistra apăsările de taste în alte aplicații, inclusiv cele care utilizează modul securizat de intrare de date.
Descriere: această problemă a fost rezolvată prin verificări suplimentare ale drepturilor.
CVE-2024-27799: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
Kernel
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: un utilizator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27818: pattern-f (@pattern_F_) (Ant Security Light-Year Lab)
Adăugare intrare: luni, 10 iunie 2024
Kernel
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite protecțiile memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27840: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: Un atacator cu acces fizic ar putea reuși să divulge credențialele contului de e-mail.
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2024-23251: Gil Pedersen
Adăugare intrare: luni, 10 iunie 2024
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: Un email creat în mod malițios ar putea iniția apeluri FaceTime fără autorizarea utilizatorului.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Adăugare intrare: luni, 10 iunie 2024
Messages
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-27800: Daniel Zajork și Joshua Zajork
Adăugare intrare: luni, 10 iunie 2024
Metal
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: luni, 10 iunie 2024
RTKit
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: un atacator cu capacitate arbitrară de citire și scriere kernel poate reuși să evite măsurile de protecție ale memoriei kernel. Apple a luat cunoștință de o raportare conform căreia este posibil ca această problemă să fi fost exploatată.
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2024-23296
Shortcuts
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27855: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
Spotlight
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.
CVE-2024-27806
Adăugare intrare: luni, 10 iunie 2024
Symptom Framework
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: O aplicație ar putea reuși să ocolească înregistrarea rapoartelor de confidențialitate a aplicațiilor.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27807: Romy R.
Adăugare intrare: luni, 10 iunie 2024
Sync Services
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite
CVE-2024-27847: Mickey Jin (@patch1t)
Adăugare intrare: luni, 10 iunie 2024
Voice Control
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: un utilizator poate să acorde privilegii superioare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27796: ajajfxhj
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: Problema a fost soluționată prin adăugarea unei logici suplimentare.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de la Mozilla
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: un atacator cu rea intenție, cu capacitate arbitrară de citire și scriere, poate reuși să evite autentificarea pointerilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: luni, 10 iunie 2024
WebKit Web Inspector
Disponibilitate pentru: iPhone 8, iPhone 8 Plus, iPhone X, iPad a 5-a generație, iPad Pro 9,7 inchi și iPad Pro 12,9 inchi prima generație
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Adăugare intrare: luni, 10 iunie 2024