Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
iOS 16.7.6 и iPadOS 16.7.6
Дата выпуска: 5 марта 2024 г.
Accessibility
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение могло фальсифицировать системные уведомления и элементы интерфейса пользователя.
Описание. Проблема устранена путем ввода дополнительных проверок прав.
CVE-2024-23262: Guilherme Rambo из Best Buddy Apps (rambo.codes)
Запись добавлена 7 марта 2024 г.
CoreCrypto
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Злоумышленник может расшифровать устаревшие шифротексты RSA PKCS#1 версии 1.5 без закрытого ключа.
Описание. Проблема побочных каналов синхронизации устранена благодаря усовершенствованию вычисления постоянного времени в криптографических функциях.
CVE-2024-23218: Clemens Lang
Запись добавлена 7 марта 2024 г.
ImageIO
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка изображения может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Запись добавлена 7 марта 2024 г.
ImageIO
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка изображения может привести к раскрытию памяти процесса.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-23257: Junsung Lee в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 7 марта 2024 г.
Kernel
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Злоумышленник с возможностями произвольного чтения и записи ядра может обойти средства защиты памяти ядра. Компании Apple известно о том, что этой проблемой могли пользоваться.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2024-23225
Kernel
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2024-23235
Запись добавлена 7 марта 2024 г.
Kernel
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Уязвимость, связанная с повреждением данных в памяти, устранена путем улучшенной блокировки.
CVE-2024-23265: Xinru Chi из Pangu Lab
Запись добавлена 7 марта 2024 г.
libxpc
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может выходить за границы песочницы.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23278: анонимный исследователь
Запись добавлена 7 марта 2024 г.
MediaRemote
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.
CVE-2023-28826: Meng Zhang (鲸落) из NorthSea
Запись добавлена 7 марта 2024 г.
Metal
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 7 марта 2024 г.
Notes
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема конфиденциальности устранена путем улучшенного редактирования личных данных для записей журнала.
CVE-2024-23283
Запись добавлена 7 марта 2024 г.
Safari
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23259: Lyra Rebane (rebane2001)
Запись добавлена 7 марта 2024 г.
Share Sheet
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема конфиденциальности устранена путем улучшенного редактирования личных данных для записей журнала.
CVE-2024-23231: пользователи Kirin (@Pwnrin) и luckyu (@uuulucky)
Запись добавлена 7 марта 2024 г.
Shortcuts
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Быстрая команда может использовать конфиденциальные данные и выполнять некоторые действия, не запрашивая разрешение пользователя.
Описание. Проблема устранена путем ввода дополнительных проверок разрешений.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
CVE-2024-23203: анонимный исследователь
Запись добавлена 7 марта 2024 г.
Siri
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Пользователь с физическим доступом к устройству может использовать Siri для получения доступа к личной информации в календаре.
Описание. Проблема с экраном блокировки устранена путем улучшенного управления состояниями.
CVE-2024-23289: Lewis Hardy
Запись добавлена 7 марта 2024 г.
UIKit
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может выходить за границы своей изолированной среды.
Описание. Проблема устранена путем удаления уязвимого кода.
CVE-2024-23246: компания Deutsche Telekom Security GmbH, спонсором которой является Bundesamt für Sicherheit in der Informationstechnik
Запись добавлена 7 марта 2024 г.
WebKit
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема с логикой устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber и Marco Squarcina
Запись добавлена 7 марта 2024 г.
WebKit
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. Проблема с логикой устранена путем улучшенной проверки.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Запись добавлена 7 марта 2024 г.