Проблеми системи безпеки, які усунено в оновленнях iOS 17.3 та iPadOS 17.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 17.3 та iPadOS 17.3.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 17.3 та iPadOS 17.3

Дата випуску: 22 січня 2024 р.

Apple Neural Engine

Доступно для пристроїв із системою Apple Neural Engine: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 3-го покоління та новіші моделі, iPad Pro 11 дюймів 1-го покоління та новіші моделі, iPad Air 3-го покоління та новіші моделі, iPad 8-го покоління та новіші моделі, а також iPad mini 5-го покоління та новіші моделі

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-23212: Ye Zhang із Baidu Security

CoreCrypto

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління та новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління та новіші моделі, iPad Air 3-го покоління та новіші моделі, iPad 6-го покоління та новіші моделі, а також iPad mini 5-го покоління та новіші моделі

Вплив: зловмисник може розшифрувати застарілі шифротексти RSA PKCS#1 версії 1.5 без приватного ключа.

Опис: проблему побічних каналів синхронізації усунено через поліпшення обчислень постійного часу в криптографічних функціях.

CVE-2024-23218: Clemens Lang

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-23208: користувачі fmyy(@binary_fmyy) і lime із TIANGONG Team of Legendsec у QI-ANXIN Group

libxpc

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-23201: Koh M. Nakagawa з FFRI Security, Inc. і анонімний дослідник

Запис додано 7 березня 2024 р.

Mail Search

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-23207: Noah Roskin-Frazee, користувач Prof. J. (ZeroClicks.ai Lab) та Ian de Marcellus

Notes

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: вміст замкнених нотаток міг бути неочікувано розблокованим.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2024-23228: користувач Harsh Tyagi

Запис додано 24 квітня 2024 р.

NSSpellChecker

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-23223: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)

Power Manager

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може розкривати дані з пам’яті пошкодженого співпроцесора.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27791: Pan ZhenPeng (@Peterpan0927) зі STAR Labs SG Pte. Ltd.

Запис додано 24 квітня 2024 р.

Reset Services

Цільові продукти: iPhone XS і новіші моделі

Вплив: функція «Захист украдених пристроїв» може несподівано вимикатися.

Опис: цю проблему усунено завдяки вдосконаленню автентифікації.

CVE-2024-23219: Peter Watthey і Christian Scalese

Safari

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: дії користувача в режимі Приватного перегляду можна побачити в програмі «Параметри».

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки користувацьких налаштувань.

CVE-2024-23211: Mark Bowers

Shortcuts

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління та новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління та новіші моделі, iPad Air 3-го покоління та новіші моделі, iPad 6-го покоління та новіші моделі, а також iPad mini 5-го покоління та новіші моделі

Вплив: швидка команда може мати змогу використовувати конфіденційні дані з певними діями, не питаючи дозвіл у користувача.

Опис: проблему усунуто завдяки додатковим перевіркам дозволів.

CVE-2024-23203: анонімний дослідник

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

Shortcuts

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління та новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління та новіші моделі, iPad Air 3-го покоління та новіші моделі, iPad 6-го покоління та новіші моделі, а також iPad mini 5-го покоління та новіші моделі

Вплив: програма може обходити певні параметри приватності.

Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2024-23217: Kirin (@Pwnrin)

TCC

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2024-23215: Zhongquan Li (@Guluisacat)

Time Zone

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління та новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління та новіші моделі, iPad Air 3-го покоління та новіші моделі, iPad 6-го покоління та новіші моделі, а також iPad mini 5-го покоління та новіші моделі

Вплив: програма може переглядати номер телефону користувача в системних журналах.

Опис: проблему вирішено шляхом удосконалення редагування конфіденційної інформації.

CVE-2024-23210: Noah Roskin-Frazee та користувач Prof. J. (ZeroClicks.ai Lab)

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.

WebKit Bugzilla: 262699

CVE-2024-23206: анонімний дослідник

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 266619

CVE-2024-23213: Wangtaiyu із Zhongfu info

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: декілька проблем із пошкодженням даних у пам’яті усунено шляхом поліпшення обробки звернень до пам’яті.

WebKit Bugzilla: 265129

CVE-2024-23214: Nan Wang (@eternalsakura13) із 360 Vulnerability Research Institute

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду. Компанії Apple відомо, що цією проблемою могли користуватися.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 267134

CVE-2024-23222

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідливий вебсайт може несподівано призвести до неправильної поведінки.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 265812

CVE-2024-23271: James Lee (@Windowsrcer)

Запис додано 24 квітня 2024 р.

Додаткова подяка

NetworkExtension

Дякуємо за допомогу користувачу Nils Rollshausen.

Запис додано 24 квітня 2024 р.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: