Obsah zabezpečenia v systémoch iOS 17.7.1 a iPadOS 17.7.1

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 17.7.1 a iPadOS 17.7.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

iOS 17.7.1 a iPadOS 17.7.1

Dátum vydania: 28. októbra 2024

Accessibility

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočiaca osoba s fyzickým prístupom k zamknutému zariadeniu môže byť schopná zobraziť si citlivé informácie používateľa

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

AppleAVD

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Analýza súboru videa so škodlivým kódom môže viesť k neočakávanému ukončeniu systému

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

Dátum pridania záznamu: 1. novembra 2024

CoreText

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44240: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Foundation

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44282: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44215: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-44297: Jex Amro

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Obnovenie súboru zálohy so škodlivým kódom môže viesť k úprave chránených systémových súborov

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Obnovenie súboru zálohy so škodlivým kódom môže viesť k úprave chránených systémových súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Webový obsah so škodlivým kódom môže porušovať zásady izolovania priestoru pre prvky iFrame

Popis: Dochádzalo k problému so spracovaním vlastnej schémy URL, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44155: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Safari Downloads

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočiaca osoba môže byť schopná zneužiť vzťah dôvery medzi doménami na stiahnutie obsahu so škodlivým kódom

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44259: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2024-44144: 냥냥

SceneKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44218: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Shortcuts

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka so škodlivým kódom môže používať skratky na získanie prístupu k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44269: Kirin (@Pwnrin) a anonymný výskumník

Dátum aktualizovania záznamu: 11. decembra 2024

Siri

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam v systémových protokoloch

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočiaca osoba môže byť schopná zobraziť si obmedzený obsah na zamknutej obrazovke

Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Tento problém bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Ďalšie poďakovanie

Security

Poďakovanie za pomoc si zaslúžia Bing Shi, Wenchao Li a Xiaolong Bai zo skupiny Alibaba Group a Luyi Xing z Indiana University Bloomington.

Dátum aktualizovania záznamu: 11. decembra 2024

Spotlight

Poďakovanie za pomoc si zaslúži Paulo Henrique Batista Rosa de Castro (@paulohbrc).

WebKit

Poďakovanie za pomoc si zaslúži Eli Grey (eligrey.com).

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: