Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 16.7.6 a iPadOS 16.7.6
Dátum vydania: 5. marca 2024
Accessibility
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná falšovať systémové hlásenia a používateľské rozhranie
Popis: Tento problém bol vyriešený vykonávaním ďalších kontrol oprávnení.
CVE-2024-23262: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Dátum pridania záznamu: 7. marca 2024
CoreCrypto
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník môže byť schopný dešifrovať údaje zašifrované starším algoritmom RSA PKCS#1 v1.5 bez toho, aby mal súkromný kľúč
Popis: Problém s časovaním vedľajšieho kanála bol vyriešený vylepšením výpočtu s použitím konštantného času v kryptografických funkciách.
CVE-2024-23218: Clemens Lang
Dátum pridania záznamu: 7. marca 2024
ImageIO
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie obrázka môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Dátum pridania záznamu: 7. marca 2024
ImageIO
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie obrázka môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-23257: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 7. marca 2024
Kernel
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník s ľubovoľným prístupom na čítanie jadra a zápis doň môže byť schopný obísť ochranu pamäte jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť zneužitý.
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2024-23225
Kernel
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2024-23235
Dátum pridania záznamu: 7. marca 2024
Kernel
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2024-23265: Xinru Chi z tímu Pangu Lab
Dátum pridania záznamu: 7. marca 2024
libxpc
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-23278: Anonymný výskumník
Dátum pridania záznamu: 7. marca 2024
MediaRemote
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením redigovania citlivých informácií.
CVE-2023-28826: Meng Zhang (鲸落) z tímu NorthSea
Dátum pridania záznamu: 7. marca 2024
Metal
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 7. marca 2024
Notes
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-23283
Dátum pridania záznamu: 7. marca 2024
Safari
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-23259: Lyra Rebane (rebane2001)
Dátum pridania záznamu: 7. marca 2024
Share Sheet
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.
CVE-2024-23231: Kirin (@Pwnrin) a luckyu (@uuulucky)
Dátum pridania záznamu: 7. marca 2024
Shortcuts
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
CVE-2024-23203: Anonymný výskumník
Dátum pridania záznamu: 7. marca 2024
Siri
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Používateľ s fyzickým prístupom k zariadeniu môže byť schopný získať prístup k súkromným informáciám v kalendári pomocou Siri
Popis: Dochádzalo k problému so zamknutou obrazovkou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2024-23289: Lewis Hardy
Dátum pridania záznamu: 7. marca 2024
UIKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2024-23246: Deutsche Telekom Security GmbH so sponzorstvom Spolkového úradu pre bezpečnosť informačnej techniky (BSI – Bundesamt für Sicherheit in der Informationstechnik)
Dátum pridania záznamu: 7. marca 2024
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber a Marco Squarcina
Dátum pridania záznamu: 7. marca 2024
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže zabrániť vynúteniu zásad CSP (Content Security Policy)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Dátum pridania záznamu: 7. marca 2024