Obsah zabezpečenia v systémoch iOS 17.7.1 a iPadOS 17.7.1

V tomto dokumente sa opisuje obsah zabezpečenia v systémoch iOS 17.7.1 a iPadOS 17.7.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

Obsah zabezpečenia v systémoch iOS 17.7.1 a iPadOS 17.7.1

Accessibility

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Útočník s fyzickým prístupom k zamknutému zariadeniu môže byť schopný zobraziť si citlivé informácie používateľa

Popis: Tento problém bol vyriešený vylepšením overovania.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

CoreText

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44240: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Foundation

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Analýza súboru môže viesť k sprístupneniu informácií používateľa

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44282: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44215: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby.

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-44297: Jex Amro

Kernel

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Managed Configuration

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Obnovenie súboru zálohy so škodlivým kódom môže viesť k úprave chránených systémových súborov

Popis: Tento problém bol vyriešený vylepšením spracovania symbolických odkazov.

CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak

MobileBackup

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Obnovenie súboru zálohy so škodlivým kódom môže viesť k úprave chránených systémových súborov

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením spracovania súborov.

CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)

Safari

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Webový obsah so škodlivým kódom môže porušovať zásady izolovania priestoru pre prvky iFrame

Popis: Dochádzalo k problému so spracovaním vlastnej schémy URL, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44155: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Safari Downloads

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Útočník môže byť schopný zneužiť vzťah dôvery medzi doménami na stiahnutie obsahu so škodlivým kódom

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44259: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2024-44144: 냥냥

SceneKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44218: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Shortcuts

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Apka so škodlivým kódom môže používať skratky na získanie prístupu k súborom s obmedzeným prístupom

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44269: anonymný výskumník

Siri

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Apka v sandboxe môže byť schopná získať prístup k citlivým používateľským dátam v systémových protokoloch

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-44278: Kirin (@Pwnrin)

VoiceOver

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dosah: Útočník môže byť schopný zobraziť si obmedzený obsah na zamknutej obrazovke

Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.

CVE-2024-44261: Braylon (@softwarescool)

WebKit

Dostupné pre: iPhone XS a novšie, 13-palcový iPad Pro, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-44296: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Ďalšie poďakovanie

Security

Poďakovanie za pomoc si zaslúžia Bing Shi, Wenchao Li a Xiaolong Bai zo spoločnosti Alibaba Group.

Spotlight

Poďakovanie za pomoc si zaslúži Paulo Henrique Batista Rosa de Castro (@paulohbrc).

WebKit

Poďakovanie za pomoc si zaslúži Eli Grey (eligrey.com).