Om säkerhetsinnehållet i iOS 16.7.9 och iPadOS 16.7.9

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 16.7.9 och iPadOS 16.7.9.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apples produktsäkerhet.

iOS 16.7.9 och iPadOS 16.7.9

CoreGraphics

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-40799: D4m0n

CoreMedia

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av en skadlig videofil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-27873: Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations

ImageIO

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-40806: Yisumi

ImageIO

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2024-40784: Junsung Lee i samarbete med Trend Micro Zero Day Initiative och Gandalf4a

Kernel

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En lokal angripare kan orsaka en oväntad systemavstängning

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2024-40788: Minghao Lin och Jiaxun Zhu från Zhejiang University

NetworkExtension

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Privat surfning kanske kan läcka viss webbhistorik

Beskrivning: Ett integritetsproblem åtgärdades genom förbättrad redigering av personlig information för loggposter.

CVE-2024-40796: Adam M.

Photos Storage

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bilder i fotoalbumet Gömda kan visas utan autentisering

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40778: Mateen Alinaghi

Security

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En app kanske kan läsa Safaris webbhistorik

Beskrivning: Problemet åtgärdades med förbättrad redigering av känslig information.

CVE-2024-40798: Adam M.

Shortcuts

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-40833: En anonym forskare

CVE-2024-40835: En anonym forskare

CVE-2024-40836: En anonym forskare

Shortcuts

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En app kan kanske komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2024-40793: Kirin (@Pwnrin)

Shortcuts

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En genväg kan kringgå internetbehörighetskrav

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-40809: En anonym forskare

CVE-2024-40812: En anonym forskare

Siri

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En angripare med fysisk åtkomst kanske kan använda Siri för att komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.

CVE-2024-40818: Bistrit Dahal och Srijan Poudel

Siri

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En angripare kanske kan visa känslig användarinformation

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40786: Bistrit Dahal

Siri

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En angripare med fysisk åtkomst till en enhet kanske kan komma åt kontakter från låsskärmen

Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.

CVE-2024-40822: Srijan Poudel

VoiceOver

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: En angripare kanske kan se begränsat innehåll via låsskärmen

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal India

WebKit

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40789: Seunghyun Lee (@0x10n) på KAIST Hacking Lab i samarbete med Trend Micro Zero Day Initiative

WebKit

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2024-40776: Huang Xilin på Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40779: Huang Xilin på Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin på Ant Group Light-Year Security Lab

WebKit

Tillgängligt för: iPhone 8, iPhone 8 Plus, iPhone X, iPad 5:e generationen, iPad Pro 9,7 tum och iPad Pro 12,9 tum 1:a generationen

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

Ytterligare tack

Shortcuts

Vi vill tacka en anonym forskare för hjälpen.