Проблеми системи безпеки, які усунено в оновленнях iOS 17.7.1 та iPadOS 17.7.1
У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 17.7.1 та iPadOS 17.7.1.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
iOS 17.7.1 та iPadOS 17.7.1
Дата випуску: 28 жовтня 2024 р.
Accessibility
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник, який має фізичний доступ до заблокованого пристрою, може переглянути конфіденційну інформацію користувача.
Опис: цю проблему усунено завдяки вдосконаленню автентифікації.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
AppleAVD
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: аналіз шкідливого відеофайлу може призводити до неочікуваного завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2024-44232: Ivan Fratric із Google Project Zero
CVE-2024-44233: Ivan Fratric із Google Project Zero
CVE-2024-44234: Ivan Fratric із Google Project Zero
Запис додано 1 листопада 2024 р.
CoreText
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-44240: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
Foundation
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: аналіз файлу може призводити до розкриття інформації про користувача.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2024-44282: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
ImageIO
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка зображення може призводити до розкриття пам’яті процесів.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-44215: Junsung Lee, що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
ImageIO
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого повідомлення може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2024-44297: Jex Amro
Kernel
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.
Опис: проблему з розкриттям інформації вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Managed Configuration
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.
Опис: проблему усунено завдяки поліпшенню обробки символьних посилань.
CVE-2024-44258: Hichem Maloufi, Christian Mina, Ismail Amzdak
MobileBackup
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.
Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.
CVE-2024-44252: Nimrat Khalsa, Davis Dai, James Gill (@jjtech@infosec.exchange)
Safari
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: шкідливий вебконтент може порушувати політику щодо iframe sandbox.
Опис: проблему з обробкою користувацьких схем URL-адрес вирішено завдяки вдосконаленню перевірки вводу.
CVE-2024-44155: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)
Safari Downloads
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник може використовувати дозвіл про довіру для завантаження шкідливого вмісту.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2024-44259: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)
SceneKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки розміру.
CVE-2024-44144: 냥냥
SceneKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-44218: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Shortcuts
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: шкідлива програма може за допомогою швидких команд отримувати доступ до файлів з обмеженим доступом.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2024-44269: Kirin (@Pwnrin) і анонімний дослідник
Запис оновлено 11 грудня 2024 р.
Siri
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: програма в ізольованому програмному середовищі може отримувати доступ до конфіденційних даних користувача в системних журналах.
Опис: проблему з розкриттям інформації вирішено шляхом поліпшення редагування приватних даних для записів журналу.
CVE-2024-44278: Kirin (@Pwnrin)
VoiceOver
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: зловмисник може переглядати обмежений вміст із замкненого екрана.
Опис: цю проблему усунено за допомогою обмеження варіантів, що пропонуються на замкненому пристрої.
CVE-2024-44261: Braylon (@softwarescool)
WebKit
Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі
Вплив: обробка зловмисного вебвмісту може завадити застосуванню політики безпеки вмісту.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)
Додаткова подяка
Security
Дякуємо за допомогу Bing Shi, Wenchao Li та Xiaolong Bai з Alibaba Group, а також Luyi Xing з Індіанського університету в Блумінгтоні.
Запис оновлено 11 грудня 2024 р.
Spotlight
Дякуємо за допомогу Paulo Henrique Batista Rosa de Castro (@paulohbrc).
WebKit
Дякуємо за допомогу Eli Grey (eligrey.com).
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.