Obsah zabezpečenia v systémoch iOS 17.2 a iPadOS 17.2

V tomto dokumente sa popisuje obsah zabezpečenia v systémoch iOS 17.2 a iPadOS 17.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

iOS 17.2 a iPadOS 17.2

Dátum vydania: 11. decembra 2023

Accessibility

Dostupné pre: iPhone XS a novšie, 12,9-palcový iPad Pro (2. generácia a novšie), 10,5-palcový iPad Pro, 11-palcový iPad Pro (1. generácia a novšie), iPad Air (3. generácia a novšie), iPad (6. generácia a novšie), iPad mini (5. generácia a novšie)

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-42937: Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab)

Dátum pridania záznamu: 22. januára 2024

Accounts

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2023-42919: Kirin (@Pwnrin)

Assets

Dopad: Apka môže byť schopná upravovať chránené časti súborového systému

Popis: Problém bol vyriešený vylepšením spracovania dočasných súborov.

CVE-2023-42896: Mickey Jin (@patch1t)

Dátum pridania záznamu: 22. marca 2024

AVEVideoEncoder

Dopad: Apka môže byť schopná odhaliť obsah pamäte jadra

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-42884: Anonymný výskumník

Bluetooth

Dopad: Útočník so sieťovými oprávneniami môže byť schopný vkladať stlačenia klávesov predstieraním použitia klávesnice

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-45866: Marc Newlin z tímu SkySafe

Dátum pridania záznamu: 11. decembra 2023

Bluetooth

Dopad: Útočník s oprávneniami v sieti môže byť schopný vykonať útok zameraný na odmietnutie služby pomocou upravených paketov Bluetooth

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-42941: Christopher Reynolds

Dátum pridania záznamu: 10. januára 2024

CallKit

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Tento problém bol vyriešený vylepšením kontrol

CVE-2023-42962: Aymane Chabat

Dátum pridania záznamu: 22. marca 2024

Find My

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-42922: Wojciech Regula z tímu SecuRing (wojciechregula.blog)

ImageIO

Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-42898: Zhenjiang Zhao (Pangu Team), Qianxin a Junsung Lee

CVE-2023-42899: Meysam Firouzi @R00tkitSMM a Junsung Lee

Dátum aktualizovania záznamu: 22. marca 2024

ImageIO

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-42888: Michael DePlante (@izobashi) z tímu Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 22. januára 2024

IOUSBDeviceFamily

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2023-42974: Pan ZhenPeng (@Peterpan0927) z tímu STAR Labs SG Pte. Ltd.

Dátum aktualizovania záznamu: 22. marca 2024

Kernel

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2023-42914: Eloi Benoist-Vanderbeken (@elvanderb) zo spoločnosti Synacktiv (@Synacktiv)

Libsystem

Dopad: Apka môže byť schopná získať prístup k chráneným používateľským dátam

Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.

CVE-2023-42893

Dátum pridania záznamu: 22. marca 2024

Safari Private Browsing

Dopad: Prístup k tabom anonymného prezerania je možný bez overenia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2023-42923: ARJUN S D

Sandbox

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.

CVE-2023-42936

Dátum pridania záznamu: 22. marca 2024

Siri

Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2023-42897: Andrew Goldberg z McCombs School of Business, University of Texas v Austine (linkedin.com/andrew-goldberg-/)

TCC

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2023-42947: Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab spoločnosti JingDong

Dátum pridania záznamu: 22. marca 2024

WebKit

Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 259830
CVE-2023-42890: Pwn2car

WebKit

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 263349
CVE-2023-42883: Zoom Offensive Security Team

WebKit

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 263682
CVE-2023-42950: Nan Wang (@eternalsakura13) z tímu 360 Vulnerability Research Institute a rushikesh nandedkar

Dátum pridania záznamu: 22. marca 2024

WebKit

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 263989
CVE-2023-42956: SungKwon Lee (Demon.Team)

Dátum pridania záznamu: 22. marca 2024

Ďalšie poďakovanie

Safari Private Browsing

Poďakovanie za pomoc si zaslúžia Joshua Lund zo Signal Technology Foundation a Iakovos Gurulian.

Dátum aktualizovania záznamu: 22. marca 2024

Setup Assistant

Poďakovanie za pomoc si zaslúži Aaron Gregory z Acoustic.com a Eastern Illinois University – Graduate School of Technology.

WebKit

Poďakovanie za pomoc si zaslúži 椰椰.

WebSheet

Poďakovanie za pomoc si zaslúži Paolo Ruggero zo spoločnosti e-phors S.p.A. (A FINCANTIERI S.p.A.).

Dátum pridania záznamu: 22. marca 2024

Wi-Fi

Poďakovanie za pomoc si zaslúžia Noah Roskin-Frazee a Prof. J. (ZeroClicks.ai Lab).

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: 2. apríla 2024