Obsah zabezpečenia v systémoch iOS 17.2 a iPadOS 17.2
V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 17.2 a iPadOS 17.2.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 17.2 a iPadOS 17.2
Dátum vydania: 11. decembra 2023
Accessibility
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-42937: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)
Dátum pridania záznamu: 22. januára 2024
Accounts
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2023-42919: Kirin (@Pwnrin)
Assets
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Apka môže byť schopná upravovať chránené časti súborového systému
Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.
CVE-2023-42896: Mickey Jin (@patch1t)
Dátum pridania záznamu: 22. marca 2024
AVEVideoEncoder
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dosah: Apka môže byť schopná odhaliť obsah pamäte jadra
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42884: Anonymný výskumník
Bluetooth
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Útočník so sieťovými oprávneniami môže byť schopný vkladať stlačenia klávesov predstieraním použitia klávesnice
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-45866: Marc Newlin z tímu SkySafe
Dátum pridania záznamu: 11. decembra 2023
Bluetooth
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Útočiaca osoba s oprávneniami v sieti môže byť schopná vykonať útok zameraný na odmietnutie služby pomocou upravených paketov Bluetooth
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42941: Christopher Reynolds
Dátum pridania záznamu: 10. januára 2024
CallKit
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol
CVE-2023-42962: Aymane Chabat
Dátum pridania záznamu: 22. marca 2024
Find My
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42922: Wojciech Regula z tímu SecuRing (wojciechregula.blog)
ImageIO
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin a Junsung Lee
CVE-2023-42899: Meysam Firouzi @R00tkitSMM a Junsung Lee
Dátum aktualizovania záznamu: 22. marca 2024
ImageIO
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42888: Michael DePlante (@izobashi, Trend Micro Zero Day Initiative)
Dátum pridania záznamu: 22. januára 2024
IOUSBDeviceFamily
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.
Dátum aktualizovania záznamu: 22. marca 2024
Kernel
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv)
Libsystem
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam
Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.
CVE-2023-42893
Dátum pridania záznamu: 22. marca 2024
Safari Private Browsing
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Prístup k tabom anonymného prezerania je možný bez overenia
Popis: Tento problém bol vyriešený vylepšením správy stavu.
CVE-2023-42923: ARJUN S D
Sandbox
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-42936: Csaba Fitzl (@theevilbit) z tímu OffSec
Dátum pridania záznamu: 22. marca 2024, dátum aktualizácie: 16. júla 2024
Siri
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2023-42897: Andrew Goldberg z McCombs School of Business, University of Texas v Austine (linkedin.com/andrew-goldberg-/)
TCC
Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2023-42947: Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab spoločnosti JingDong
Dátum pridania záznamu: 22. marca 2024
Transparency
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Problém bol vyriešený vylepšením obmedzenia prístupu k dátovému kontajneru.
CVE-2023-40389: Csaba Fitzl (@theevilbit) z tímu Offensive Security a Joshua Jewett (@JoshJewett33)
Dátum pridania záznamu: 16. júla 2024
WebKit
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car
WebKit
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Spracovanie obrázka môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team
WebKit
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) z tímu 360 Vulnerability Research Institute a rushikesh nandedkar
Dátum pridania záznamu: 22. marca 2024
WebKit
Dostupné pre: iPhone XS a novší, 12,9-palcový iPad Pro (2. generácia a novšia), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšia), iPad Air (3. generácia a novšia), iPad (6. generácia a novšia), iPad mini (5. generácia a novšia)
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)
Dátum pridania záznamu: 22. marca 2024
Ďalšie poďakovanie
Safari Private Browsing
Poďakovanie za pomoc si zaslúžia Joshua Lund zo Signal Technology Foundation a Iakovos Gurulian.
Dátum aktualizovania záznamu: 22. marca 2024
Setup Assistant
Poďakovanie za pomoc si zaslúži Aaron Gregory z Acoustic.com a Eastern Illinois University – Graduate School of Technology.
WebKit
Poďakovanie za pomoc si zaslúži 椰椰.
WebSheet
Poďakovanie za pomoc si zaslúži Paolo Ruggero zo spoločnosti e-phors S.p.A. (A FINCANTIERI S.p.A.).
Dátum pridania záznamu: 22. marca 2024
Wi-Fi
Poďakovanie za pomoc si zaslúžia Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.