Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
iOS 17.4 и iPadOS 17.4
Дат выпуска: 5 марта 2024 г.
Accessibility
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2024-23243: Cristian Dinca из Национальной высшей школы компьютерных наук Тудора Виану (Румыния)
Accessibility
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение могло фальсифицировать системные уведомления и элементы интерфейса пользователя.
Описание. Проблема устранена путем дополнительных проверок правомочности.
CVE-2024-23262: Guilherme Rambo из Best Buddy Apps (rambo.codes)
Запись добавлена 7 марта 2024 г.
Accessibility
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносное приложение может наблюдать за данными пользователя в записях журнала, связанных с уведомлениями о доступности.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2024-23291
Запись добавлена 7 марта 2024 г.
AppleMobileFileIntegrity
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2024-23288: Wojciech Regula из компании SecuRing (wojciechregula.blog) и Kirin (@Pwnrin)
Запись добавлена 7 марта 2024 г.
Bluetooth
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник, находящийся в привилегированном положении в сети, может получить возможность ввести нажатия клавиш, подделав клавиатуру.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23277: Marc Newlin из SkySafe
Запись добавлена 7 марта 2024 г.
CoreBluetooth — LE
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к подключенным по Bluetooth микрофонам без разрешения пользователя.
Описание. Проблема доступа устранена путем улучшения ограничений доступа.
CVE-2024-23250: Guilherme Rambo из Best Buddy Apps (rambo.codes)
Запись добавлена 7 марта 2024 г.
ExtensionKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2024-23205
Запись добавлена 7 марта 2024 г.
file
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка файла может вызывать отказ в обслуживании или раскрывать содержимое памяти.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-48554
Запись добавлена 7 марта 2024 г.
Image Processing
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-23270: анонимный исследователь
Запись добавлена 7 марта 2024 г.
ImageIO
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка изображения может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Запись добавлена 7 марта 2024 г.
Kernel
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник с возможностями произвольного чтения и записи ядра может обойти защиту памяти ядра. Компании Apple известно о том, что этой проблемой могли пользоваться.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2024-23225
Kernel
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2024-23235
Запись добавлена 7 марта 2024 г.
Kernel
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Уязвимость, связанная с повреждением данных в памяти, устранена путем улучшения блокировки.
CVE-2024-23265: Xinru Chi из Pangu Lab
Запись добавлена 7 марта 2024 г.
libxpc
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23278: анонимный исследователь
Запись добавлена 7 марта 2024 г.
libxpc
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может выполнять произвольный код за границами своей изолированной среды или с определенными привилегиями более высокого уровня.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-0258: пользователь ali yabuz
Запись добавлена 7 марта 2024 г.
MediaRemote
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносное приложение может получить доступ к личной информации.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23297: scj643
Запись добавлена 7 марта 2024 г.
Messages
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема конфиденциальности устранена путем улучшенной обработки временных файлов.
CVE-2024-23287: Kirin (@Pwnrin)
Запись добавлена 7 марта 2024 г.
Metal
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшения очистки ввода.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 7 марта 2024 г.
Photos
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Функция «Встряхивание для отмены» может позволить повторное отображение удаленной фотографии без аутентификации.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23240: Harsh Tyagi
Запись добавлена 7 марта 2024 г.
Photos
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Фотографии в альбоме «Скрытые» можно просмотреть без аутентификации.
Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.
CVE-2024-23255: Harsh Tyagi
Запись добавлена 7 марта 2024 г.
RTKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник с возможностями произвольного чтения и записи ядра может обойти защиту памяти ядра. Компании Apple известно о том, что этой проблемой могли пользоваться.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2024-23296
Safari
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может снимать отпечатки пальцев пользователя.
Описание. Проблема устранена путем улучшенной обработки кэшей.
CVE-2024-23220
Запись добавлена 7 марта 2024 г.
Safari
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23259: Lyra Rebane (rebane2001)
Запись добавлена 7 марта 2024 г.
Safari Private Browsing
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Заблокированные вкладки пользователя могут кратковременно отображаться при переключении групп вкладок, если включен режим Locked Private Browsing (Защищенный частный просмотр).
Описание. Проблема с логикой устранена путем улучшенного управления состояниями.
CVE-2024-23256: Om Kothawade
Safari Private Browsing
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вкладки в режиме «Частный доступ» могут быть доступны без аутентификации.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-23273: Matej Rabzelj
Запись добавлена 7 марта 2024 г.
Sandbox
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может вызвать утечку конфиденциальных пользовательских данных.
Описание. Условие состязания устранено путем улучшения обработки состояний.
CVE-2024-23239: Mickey Jin (@patch1t)
Запись добавлена 7 марта 2024 г.
Sandbox
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2024-23290: Wojciech Regula из компании SecuRing (wojciechregula.blog)
Запись добавлена 7 марта 2024 г.
Share Sheet
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема конфиденциальности была решена путем улучшения редактирования личных данных для записей журнала.
CVE-2024-23231: Kirin (@Pwnrin) и luckyu (@uuulucky)
Запись добавлена 7 марта 2024 г.
Shortcuts
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к информации о контактах пользователя.
Описание. Проблема устранена путем улучшения защиты данных.
CVE-2024-23292: пользователи K宝 и LFY@secsys из Университета Фудань
Запись добавлена 7 марта 2024 г.
Siri
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Пользователь с физическим доступом к устройству может использовать Siri для получения доступа к личной информации в календаре
Описание. Проблема с экраном блокировки решена путем улучшения управления состояниями.
CVE-2024-23289: Lewis Hardy
Запись добавлена 7 марта 2024 г.
Siri
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник с физическим доступом может использовать Siri для получения доступа к конфиденциальным данным пользователя.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-23293: Bistrit Dahal
Запись добавлена 7 марта 2024 г.
Spotlight
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может вызвать утечку конфиденциальных пользовательских данных.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-23241
Запись добавлена 7 марта 2024 г.
Synapse
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может просматривать данные Почты.
Описание. Проблема конфиденциальности была решена путем отказа от регистрации содержимого текстовых полей.
CVE-2024-23242
Запись добавлена 7 марта 2024 г.
UIKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2024-23246: Deutsche Telekom Security GmbH при поддержке Bundesamt für Sicherheit in der Informationstechnik
Запись добавлена 7 марта 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
Запись добавлена 7 марта 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносный веб-сайт может приводить к утечке аудиоданных в другой домен.
Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.
WebKit Bugzilla: 263795
CVE-2024-23254: Джеймс Ли (James Lee, @Windowsrcer)
Запись добавлена 7 марта 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема с логикой устранена путем улучшенной проверки.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Запись добавлена 7 марта 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносный веб-сайт может создавать уникальный образ пользователя.
Описание. Проблема внедрения устранена путем улучшенной проверки.
WebKit Bugzilla: 266703
CVE-2024-23280: анонимный исследователь
Запись добавлена 7 марта 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема с логикой устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 267241
CVE-2024-23284: пользователи Georg Felber и Marco Squarcina
Запись добавлена 7 марта 2024 г.
Дополнительные благодарности
AirDrop
Выражаем благодарность за помощь Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu, Румыния.
CoreAnimation
Выражаем благодарность за помощь Junsung Lee.
Запись добавлена 7 марта 2024 г.
CoreMotion
Выражаем благодарность за помощь Eric Dorphy из Twin Cities App Dev LLC.
Запись добавлена 7 марта 2024 г.
Find My
Выражаем благодарность за помощь Meng Zhang (鲸落) из компании NorthSea.
Запись добавлена 7 марта 2024 г.
Kernel
Выражаем благодарность за помощь Tarek Joumaa (@tjkr0wn) и 이준성(Junsung Lee).
Запись добавлена 7 марта 2024 г.
libxml2
Выражаем благодарность за помощь компании OSS-Fuzz и Ned Williamson из подразделения Google Project Zero.
Запись добавлена 7 марта 2024 г.
libxpc
Выражаем благодарность за помощь Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) и анонимному исследователю.
Запись добавлена 7 марта 2024 г.
Mail Conversation View
Выражаем благодарность за помощь анонимному исследователю.
NetworkExtension
Выражаем благодарность за помощь Mathy Vanhoef (Лёвенский католический университет).
Photos
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина.
Запись добавлена 7 марта 2024 г.
Power Management
Выражаем благодарность за помощь Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd.
Запись добавлена 7 марта 2024 г.
Safari
Выражаем благодарность за помощь Abhinav Saraswat и Matthew C.
Запись добавлена 7 марта 2024 г.
Sandbox
Выражаем благодарность за помощь Zhongquan Li (@Guluisacat).
Запись добавлена 7 марта 2024 г.
Settings
Выражаем благодарность за помощь Christian Scalese, Logan Ramgoon, Lucas Monteiro, Daniel Monteiro, Felipe Monteiro и Peter Watthey.
Siri
Выражаем благодарность за помощь Bistrit Dahal.
Запись добавлена 7 марта 2024 г.
Software Update
Выражаем благодарность за помощь Bin Zhang (Городской университет Дублина).
Запись добавлена 7 марта 2024 г.
WebKit
Выражаем благодарность за помощь Nan Wang (@eternalsakura13) из 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina и Lorenzo Veronese из TU Wien.
Запись добавлена 7 марта 2024 г.