Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
iOS 16.7.8 и iPadOS 16.7.8
Выпущено 13 мая 2024 г.
Core Data
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшенной проверки переменных среды.
CVE-2024-27805: Kirin (@Pwnrin) и 小来来 (@Smi1eSEC)
Запись добавлена 10 июня 2024 г.
CoreMedia
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27817: pattern-f (@pattern_F_) из Ant Security Light-Year Lab
Запись добавлена 10 июня 2024 г.
CoreMedia
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27831: Амир Базин (Amir Bazine) и Карстен Кёниг (Karsten König) из CrowdStrike Counter Adversary Operations
Запись добавлена 10 июня 2024 г.
Foundation
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Непривилегированное приложение может вести учет нажатий клавиш в других приложениях, в том числе в приложениях с режимом безопасного ввода.
Описание. Проблема устранена путем дополнительных проверок правомочности.
CVE-2024-27799: анонимный исследователь
Запись добавлена 10 июня 2024 г.
Kernel
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Пользователь может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27818: pattern-f (@pattern_F_) из Ant Security Light-Year Lab
Запись добавлена 10 июня 2024 г.
Kernel
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27840: анонимный исследователь
Запись добавлена 10 июня 2024 г.
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Злоумышленник с физическим доступом может вызвать утечку учетных данных из приложения «Почта».
Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.
CVE-2024-23251: Джил Педерсен (Gil Pedersen)
Запись добавлена 10 июня 2024 г.
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Вредоносное письмо может инициировать вызовы FaceTime без разрешения пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Запись добавлена 10 июня 2024 г.
Messages
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2024-27800: Дениэл Зайорк (Daniel Zajork) и Джошуа Зайорк (Joshua Zajork)
Запись добавлена 10 июня 2024 г.
Metal
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27802: Мейсам Фирузи (Meysam Firouzi) (@R00tkitsmm) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 10 июня 2024 г.
RTKit
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Злоумышленник с возможностями произвольного чтения и записи ядра может обойти защиту памяти ядра. Компании Apple известно о том, что этой проблемой могли пользоваться.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения проверки.
CVE-2024-23296
Shortcuts
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Быстрая команда может использовать конфиденциальные данные и выполнять некоторые действия, не запрашивая разрешение пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27855: анонимный исследователь
Запись добавлена 10 июня 2024 г.
Spotlight
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшения очистки среды.
CVE-2024-27806
Запись добавлена 10 июня 2024 г.
Symptom Framework
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может обходить ведение отчета о конфиденциальности приложений.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27807: Роми Р. (Romy R.)
Запись добавлена 10 июня 2024 г.
Службы синхронизации
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшения проверок
CVE-2024-27847: Mickey Jin (@patch1t)
Запись добавлена 10 июня 2024 г.
Voice Control
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Пользователь может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27796: ajajfxhj
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.
Описание. Проблема устранена путем добавления дополнительной логики.
WebKit Bugzilla: 262337
CVE-2024-27838: Эмилио Кобос (Emilio Cobos) из Mozilla
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 10 июня 2024 г.
WebKit Web Inspector
Целевые продукты: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го поколения), iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма (1-го поколения)
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 270139
CVE-2024-27820: Джефф Джонсон (Jeff Johnson) из underpassapp.com
Запись добавлена 10 июня 2024 г.