Проблеми системи безпеки, які усунено в оновленнях iOS 17.4 і iPadOS 17.4

У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 17,4 і iPadOS 17,4.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 17.4 та iPadOS 17.4

Випущено 5 березня 2024 р.

Accessibility

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-23243: Cristian Dinca з Національної вищої школи комп’ютерних наук імені Тудора Віану, Румунія

Accessibility

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може обманути системні сповіщення й інтерфейс користувача.

Опис: цю проблему вирішено завдяки додатковим перевіркам на відповідність вимогам.

CVE-2024-23262: Гільєрме Рамбо (Guilherme Rambo) з Best Buddy Apps (rambo.codes)

Запис додано 7 березня 2024 р.

Accessibility

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідлива програма може переглядати дані користувача в записах журналу, пов’язаних зі сповіщеннями про доступність.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-23291

Запис додано 7 березня 2024 р.

AppleMobileFileIntegrity

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2024-23288: Wojciech Regula із SecuRing (wojciechregula.blog) і Kirin (@Pwnrin)

Запис додано 7 березня 2024 р.

Bluetooth

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник у привілейованому положенні в мережі може додавати натискання клавіш, імітуючи клавіатуру.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-23277: Marc Newlin зі SkySafe

Запис додано 7 березня 2024 р.

CoreBluetooth — LE

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримати доступ до мікрофонів, підключених через Bluetooth, без дозволу користувача.

Опис: проблему вирішено завдяки вдосконаленню обмежень доступу.

CVE-2024-23250: Гільєрме Рамбо (Guilherme Rambo) з Best Buddy Apps (rambo.codes)

Запис додано 7 березня 2024 р.

ExtensionKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-23205

Запис додано 7 березня 2024 р.

file

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2022-48554

Запис додано 7 березня 2024 р.

Image Processing

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-23270: анонімний дослідник

Запис додано 7 березня 2024 р.

ImageIO

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка зображення може призводити до виконання довільного коду.

Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.

CVE-2024-23286: Дохюн Лі (Dohyun Lee) (@l33d0hyun)

Запис додано 7 березня 2024 р.

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із довільними можливостями зчитування та запису ядра може обійти захист пам’яті ядра. Компанії Apple відомо, що цією проблемою могли користуватися.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.

CVE-2024-23225

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2024-23235

Запис додано 7 березня 2024 р.

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.

Опис: уразливість, пов’язану з пошкодженням пам’яті, вирішено шляхом поліпшення блокування.

CVE-2024-23265: Сіньру Чі (Xinru Chi) із Pangu Lab

Запис додано 7 березня 2024 р.

libxpc

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-23278: анонімний дослідник

Запис додано 7 березня 2024 р.

libxpc

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може виконувати довільний код за межами свого ізольованого середовища або з підвищеним рівнем привілеїв.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-0258: користувач ali yabuz

Запис додано 7 березня 2024 р.

MediaRemote

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідлива програма може отримувати доступ до приватної інформації.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-23297: scj643

Запис додано 7 березня 2024 р.

Messages

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2024-23287: Kirin (@Pwnrin)

Запис додано 7 березня 2024 р.

Metal

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може зчитувати дані з області пам’яті з обмеженим доступом.

Опис: проблему з перевіркою вирішено завдяки поліпшеній обробці вводу.

CVE-2024-23264: Meysam Firouzi (@R00tkitsmm), що співпрацює із Zero Day Initiative компанії Trend Micro

Запис додано 7 березня 2024 р.

Photos

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: функція Shake-to-undo може дозволити повторне відображення видаленої фотографії без автентифікації.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-23240: користувач Harsh Tyagi

Запис додано 7 березня 2024 р.

Photos

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: фотографії в альбомі «Приховані» можуть переглядатися без автентифікації.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2024-23255: користувач Harsh Tyagi

Запис додано 7 березня 2024 р.

RTKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із довільними можливостями зчитування та запису ядра може обійти захист пам’яті ядра. Компанії Apple відомо, що цією проблемою могли користуватися.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.

CVE-2024-23296

Safari

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може знімати відбитки пальців користувача.

Опис: цю проблему вирішено завдяки вдосконаленню обробки кешу.

CVE-2024-23220

Запис додано 7 березня 2024 р.

Safari

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-23259: користувач Lyra Rebane (rebane2001)

Запис додано 7 березня 2024 р.

Safari Private Browsing

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: заблоковані вкладки користувача можуть короткочасно відображатися під час перемикання груп вкладок, якщо ввімкнено режим Locked Private Browsing (Заблокований приватний перегляд).

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2024-23256: користувач Om Kothawade

Safari Private Browsing

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: доступ до вкладок, відкритих у режимі «Приватний перегляд», може бути здійснено без автентифікації.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2024-23273: користувач Matej Rabzelj

Запис додано 7 березня 2024 р.

Sandbox

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може спричинити витік конфіденційної інформації користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2024-23239: Mickey Jin (@patch1t)

Запис додано 7 березня 2024 р.

Sandbox

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.

CVE-2024-23290: Wojciech Regula із SecuRing (wojciechregula.blog)

Запис додано 7 березня 2024 р.

Share Sheet

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено шляхом поліпшення редагування приватних даних для записів журналу.

CVE-2024-23231: користувачі Kirin (@Pwnrin) і luckyu (@uuulucky)

Запис додано 7 березня 2024 р.

Shortcuts

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління та новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління та новіші моделі, iPad Air 3-го покоління та новіші моделі, iPad 6-го покоління та новіші моделі, а також iPad mini 5-го покоління та новіші моделі

Вплив: програма може отримати доступ до інформації про контакти користувача.

Опис: цю проблему вирішено завдяки вдосконаленню захисту даних.

CVE-2024-23292: користувачі K宝 і LFY@secsys з Університету Фудань

Запис додано 7 березня 2024 р.

Siri

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: користувач, який має фізичний доступ до пристрою, може використовувати Siri, щоб отримувати дані з приватного календаря.

Опис: проблему із заблокованим екраном усунено завдяки поліпшенню керування станами.

CVE-2024-23289: Льюїс Гарді (Lewis Hardy)

Запис додано 7 березня 2024 р.

Siri

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із фізичним доступом може отримати доступ до конфіденційних даних користувача за допомогою Siri.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2024-23293: Бістріт Дахал (Bistrit Dahal)

Запис додано 7 березня 2024 р.

Spotlight

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може спричинити витік конфіденційної інформації користувача.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2024-23241

Запис додано 7 березня 2024 р.

Synapse

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може переглядати дані Пошти.

Опис: вирішено проблему конфіденційності шляхом вимкнення запису вмісту текстових полів.

CVE-2024-23242

Запис додано 7 березня 2024 р.

UIKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2024-23246: Deutsche Telekom Security GmbH за підтримки Bundesamt für Sicherheit in der Informationstechnik

Запис додано 7 березня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car

Запис додано 7 березня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисний вебсайт може призводити до витоку аудіоданих в інший домен.

Опис: проблему вирішено завдяки вдосконаленню обробки інтерфейсу користувача.

WebKit Bugzilla: 263795
CVE-2024-23254: Джеймс Лі (James Lee) (@Windowsrcer)

Запис додано 7 березня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка зловмисного вебвмісту може завадити застосуванню політики безпеки вмісту.

Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.

WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)

Запис додано 7 березня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: проблему внесення вирішено завдяки вдосконаленню перевірки.

WebKit Bugzilla: 266703
CVE-2024-23280: анонімний дослідник

Запис додано 7 березня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка зловмисного вебвмісту може завадити застосуванню політики безпеки вмісту.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

WebKit Bugzilla: 267241
CVE-2024-23284: користувачі Georg Felber і Marco Squarcina

Запис додано 7 березня 2024 р.

 

Додаткова подяка

AirDrop

Дякуємо за допомогу Cristian Dinca з Національної вищої школи інформатики Тудора Віану (Румунія).

CoreAnimation

Дякуємо за допомогу Junsung Lee.

Запис додано 7 березня 2024 р.

CoreMotion

Дякуємо за допомогу Eric Dorphy з Twin Cities App Dev LLC.

Запис додано 7 березня 2024 р.

Find My

Дякуємо за допомогу Менг Чжан (鲸落) з компанії NorthSea.

Запис додано 7 березня 2024 р.

Kernel

Дякуємо за допомогу Tarek Joumaa (@tjkr0wn) і 이준성(Junsung Lee).

Запис додано 7 березня 2024 р.

libxml2

Дякуємо за допомогу компанії OSS-Fuzz і користувачу Ned Williamson із підрозділу Google Project Zero.

Запис додано 7 березня 2024 р.

libxpc

Дякуємо за допомогу Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) і анонімному досліднику.

Запис додано 7 березня 2024 р.

Mail Conversation View

Дякуємо за допомогу анонімному досліднику.

NetworkExtension

Дякуємо за допомогу Mathy Vanhoef (Левенський католицький університет)

Photos

Дякуємо за допомогу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі.

Запис додано 7 березня 2024 р.

Power Management

Дякуємо за допомогу Pan ZhenPeng (@Peterpan0927) з компанії STAR Labs SG Pte. Ltd.

Запис додано 7 березня 2024 р.

Safari

Дякуємо за допомогу Abhinav Saraswat і Matthew C.

Запис додано 7 березня 2024 р.

Sandbox

Дякуємо за допомогу Zhongquan Li (@Guluisacat).

Запис додано 7 березня 2024 р.

Settings

Дякуємо за допомогу Christian Scalese, Logan Ramgoon, Lucas Monteiro, Daniel Monteiro, Felipe Monteiro та Peter Watthey.

Siri

Дякуємо за допомогу Bistrit Dahal.

Запис додано 7 березня 2024 р.

Software Update

Дякуємо за допомогу Bin Zhang з Міського університету Дубліна.

Запис додано 7 березня 2024 р.

WebKit

Дякуємо за допомогу Nan Wang (@eternalsakura13) із 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina і Lorenzo Veronese з TU Wien.

Запис додано 7 березня 2024 р.

 

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: