Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
iOS 17.5 и iPadOS 17.5
Выпущено 13 мая 2024 г.
AppleAVD
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Запись обновлена 15 мая 2024 г.
AppleMobileFileIntegrity
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник может получить доступ к пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2024-27816: Mickey Jin (@patch1t)
AVEVideoEncoder
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может раскрывать данные из памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27841: анонимный исследователь
Core Data
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшенной проверки переменных среды.
CVE-2024-27805: Kirin (@Pwnrin) и 小来来 (@Smi1eSEC)
Запись добавлена 10 июня 2024 г.
CoreMedia
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27817: pattern-f (@pattern_F_) из Ant Security Light-Year Lab
Запись добавлена 10 июня 2024 г.
CoreMedia
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27831: Амир Базин (Amir Bazine) и Карстен Кёниг (Karsten König) из CrowdStrike Counter Adversary Operations
Запись добавлена 10 июня 2024 г.
Disk Images
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27832: анонимный исследователь
Запись добавлена 10 июня 2024 г.
Find My
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносная программа может определять текущую геопозицию пользователя.
Описание. Проблема конфиденциальности была решена путем переноса важных данных в более защищенное место.
CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) и Shai Mishali (@freak4pc)
Foundation
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27801: команда CertiK SkyFall
Запись добавлена 10 июня 2024 г.
ImageIO
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27836: Юнсун Ли (Junsung Lee) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 10 июня 2024 г.
IOSurface
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd.
Запись добавлена 10 июня 2024 г.
Kernel
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник может вызвать неожиданное завершение работы приложения или выполнить произвольный код.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27818: pattern-f (@pattern_F_) из Ant Security Light-Year Lab
Kernel
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27840: анонимный исследователь
Запись добавлена 10 июня 2024 г.
Kernel
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27815: анонимный исследователь и Джозеф Равичандран (Joseph Ravichandran) (@0xjprx) из MIT CSAIL
Запись добавлена 10 июня 2024 г.
libiconv
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27811: Ник Веллнхофер (Nick Wellnhofer)
Запись добавлена 10 июня 2024 г.
Libsystem
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к защищенным пользовательским данным.
Описание. Проблема с правами доступа была устранена путем удаления уязвимого кода и добавления дополнительных проверок.
CVE-2023-42893: анонимный исследователь
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник с физическим доступом может вызвать утечку учетных данных из приложения «Почта».
Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.
CVE-2024-23251: Джил Педерсен (Gil Pedersen)
Запись добавлена 10 июня 2024 г.
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносное письмо может инициировать вызовы FaceTime без разрешения пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Запись добавлена 10 июня 2024 г.
Maps
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2024-27810: LFY@secsys из Университета Фудань
MarketplaceKit
Целевые продукты: iPhone XS и более новые модели
Воздействие. Вредоносная веб-страница может распространять сценарий, отслеживающий пользователей на других веб-страницах.
Описание. Проблема конфиденциальности устранена путем улучшенной обработки идентификаторов клиентов для альтернативных магазинов приложений.
CVE-2024-27852: Talal Haj Bakry и Tommy Mysk из Mysk Inc. (@mysk_co)
Messages
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2024-27800: Дениэл Зайорк (Daniel Zajork) и Джошуа Зайорк (Joshua Zajork)
Запись добавлена 10 июня 2024 г.
Metal
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27802: Мейсам Фирузи (Meysam Firouzi) (@R00tkitsmm) в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 10 июня 2024 г.
Metal
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы приложения.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2024-27857: Michael DePlante (@izobashi) в сотрудничестве с Trend Micro по программе Zero Day Initiative
Запись добавлена 10 июня 2024 г.
Notes
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник с физическим доступом к устройству iOS может получить доступ к заметкам с экрана блокировки.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-27835: Andr.Ess
Notes
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может иметь доступ к вложениям в приложении «Заметки».
Описание. Проблема конфиденциальности была решена путем улучшенной обработки временных файлов.
CVE-2024-27845: Адам Берри (Adam Berry)
Запись добавлена 10 июня 2024 г.
RemoteViewServices
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник может получить доступ к пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2024-27816: Mickey Jin (@patch1t)
Screenshots
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник с физическим доступом может иметь возможность делиться объектами с экрана блокировки.
Описание. Проблема с правами доступа устранена путем улучшения проверки.
CVE-2024-27803: анонимный исследователь
Shortcuts
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. При использовании сочетания клавиш может происходить вывод конфиденциальных данных без согласия пользователя.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2024-27821: Kirin (@Pwnrin), zbleet и Csaba Fitzl (@theevilbit) из Kandji
Shortcuts
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Быстрая команда может использовать конфиденциальные данные и выполнять некоторые действия, не запрашивая разрешение пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27855: анонимный исследователь
Запись добавлена 10 июня 2024 г.
Siri
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник с физическим доступом может получать доступ к контактам с экрана блокировки.
Описание. Проблема устранена путем ограничения предлагаемых вариантов на заблокированном устройстве.
CVE-2024-27819: Шриджан Пудел (Srijan Poudel)
Запись добавлена 10 июня 2024 г.
Spotlight
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшения очистки среды.
CVE-2024-27806
Запись добавлена 10 июня 2024 г.
StorageKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносное приложение может получать привилегии пользователя root.
Описание. Проблема устранена путем улучшения проверки разрешений.
CVE-2024-27848: Csaba Fitzl (@theevilbit) из Kandji
Запись добавлена 10 июня 2024 г.
Symptom Framework
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может обходить ведение отчета о конфиденциальности приложений.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27807: Роми Р. (Romy R.)
Запись добавлена 10 июня 2024 г.
Sync Services
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшения проверок
CVE-2024-27847: Mickey Jin (@patch1t)
Voice Control
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27796: ajajfxhj
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.
Описание. Проблема устранена путем добавления дополнительной логики.
WebKit Bugzilla: 262337
CVE-2024-27838: Эмилио Кобос (Emilio Cobos) из Mozilla
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 268221
CVE-2024-27808: Лукас Бернхард (Lukas Bernhard) из CISPA Helmholtz Center for Information Security
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.
Описание. Проблема устранена с помощью улучшений алгоритма введения шума.
WebKit Bugzilla: 270767
CVE-2024-27850: анонимный исследователь
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшенной проверки границ.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) из 360 Vulnerability Research Institute
Запись добавлена 10 июня 2024 г.
WebKit Canvas
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Вредоносная веб-страница может создавать уникальный образ пользователя.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 271159
CVE-2024-27830: Джо Рутковски (Joe Rutkowski) (@Joe12387) из Crawless и @abrahamjuliot
Запись добавлена 10 июня 2024 г.
WebKit Web Inspector
Целевые продукты: iPhone XS и более поздних моделей, iPad Pro 13 дюймов, iPad Pro 12,9 дюйма 2-го поколения и более поздних моделей, iPad Pro 10,5 дюйма, iPad Pro 11 дюймов 1-го поколения и более поздних моделей, iPad Air 3-го поколения и более поздних моделей, iPad 6-го поколения и более поздних моделей, а также iPad mini 5-го поколения и более поздних моделей
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 270139
CVE-2024-27820: Джефф Джонсон (Jeff Johnson) из underpassapp.com
Запись добавлена 10 июня 2024 г.
Дополнительные благодарности
App Store
Выражаем благодарность за помощь анонимному исследователю.
AppleMobileFileIntegrity
Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).
Запись добавлена 10 июня 2024 г.
CoreHAP
Выражаем благодарность за помощь пользователю Adrian Cable.
Disk Images
Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).
Запись добавлена 10 июня 2024 г.
Face ID
Выражаем благодарность за помощь пользователям Lucas Monteiro, Daniel Monteiro и Felipe Monteiro.
HearingCore
Выражаем благодарность за помощь анонимному исследователю.
ImageIO
Выражаем благодарность за помощь анонимному исследователю.
Запись добавлена 10 июня 2024 г.
Managed Configuration
Выражаем благодарность за помощь пользователю 遥遥领先 (@晴天组织)
ReplayKit
Выражаем благодарность за помощь пользователю Thomas Zhao.
Запись добавлена 10 июня 2024 г.
Загрузки Safari
Выражаем благодарность за помощь пользователю Arsenii Kostromin (0x3c3e).
Siri
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия).
Запись добавлена 10 июня 2024 г.
Status Bar
Выражаем благодарность за помощь пользователю Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина.
Transparency
Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).
Запись добавлена 10 июня 2024 г.