Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke s vydaniami zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
iOS 16.7.8 a iPadOS 16.7.8
Dátum vydania: pondelok 13. mája 2024
Core Data
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením overovania premenných prostredia.
CVE-2024-27805: Kirin (@Pwnrin) a 小来来 (@Smi1eSEC)
Záznam pridaný 10. júna 2024
CoreMedia
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27817: pattern-f (@pattern_F_), Ant Security Light-Year Lab
Záznam pridaný 10. júna 2024
CoreMedia
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie súboru môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-27831: Amir Bazine a Karsten König, CrowdStrike Counter Adversary Operations
Záznam pridaný 10. júna 2024
Foundation
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2024-27789: Mickey Jin (@patch1t)
IOHIDFamily
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Neprivilegovaná aplikácia môže byť schopná zaznamenávať stlačené klávesy v iných aplikáciách vrátane tých, ktoré používajú zabezpečený vstupný režim.
Popis: Tento problém bol vyriešený dodatočnými kontrolami oprávnení.
CVE-2024-27799: anonymný výskumník
Záznam pridaný 10. júna 2024
Kernel
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-27818: pattern-f (@pattern_F_), Ant Security Light-Year Lab
Záznam pridaný 10. júna 2024
Kernel
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník, ktorý už dosiahol spustenie kódu jadra, môže byť schopný obísť ochranu pamäte jadra.
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2024-27840: anonymný výskumník
Záznam pridaný 10. júna 2024
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník s fyzickým prístupom môže byť schopný úniku poverení k poštovému účtu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2024-23251: Gil Pedersen
Záznam pridaný 10. júna 2024
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k spusteniu služby FaceTime bez overenia.
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Záznam pridaný 10. júna 2024
Messages
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby.
Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2024-27800: Daniel Zajork a Joshua Zajork
Záznam pridaný 10. júna 2024
Metal
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Záznam pridaný 10. júna 2024
RTKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Útočník s ľubovoľným prístupom na čítanie jadra a zápis doň môže byť schopný obísť opatrenia na ochranu pamäte jadra. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť zneužitý.
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2024-23296
Shortcuts
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Skratka môže byť schopná používať pre určité akcie citlivé údaje bez zobrazenia výzvy pre používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27855: Anonymný výskumník
Záznam pridaný 10. júna 2024
Spotlight
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam
Popis: Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-2024-27806
Záznam pridaný 10. júna 2024
Symptom Framework
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Aplikácia môže byť schopná obísť protokolovanie správy o ochrane osobných údajov aplikácie
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27807: Romy R.
Dátum pridania záznamu: pondelok 10. júna 2024
Sync Services
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený vylepšením kontrol
CVE-2024-27847: Mickey Jin (@patch1t)
Dátum pridania záznamu: pondelok 10. júna 2024
Voice Control
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2024-27796: ajajfxhj
Dátum pridania záznamu: pondelok 10. júna 2024
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Webová stránka so škodlivým kódom môže byť schopná identifikovať používateľa
Popis: Problém bol vyriešený pridaním ďalšej logiky.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos, Mozilla
Dátum pridania záznamu: pondelok 10. júna 2024
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: pondelok 10. júna 2024
WebKit
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dosah: Útočník so zlými úmyslami s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication
Popis: Tento problém bol vyriešený vylepšením kontrol.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Záznam pridaný 10. júna 2024
WebKit Web Inspector
Dostupné pre: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5. generácia), 9,7-palcový iPad Pro a 12,9-palcový iPad Pro (1. generácia)
Dopad: Spracovanie webového obsahu môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson, underpassapp.com
Záznam pridaný 10. júna 2024