Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
iOS 16.7.6 та iPadOS 16.7.6
Дата випуску: 5 березня 2024 року
Accessibility
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може обманути системні сповіщення та інтерфейс користувача.
Опис: проблему вирішено завдяки додатковим перевіркам прав.
CVE-2024-23262: Guilherme Rambo з Best Buddy Apps (rambo.codes)
Запис додано 7 березня 2024 року
CoreCrypto
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: зловмисник може розшифрувати застарілі шифротексти RSA PKCS#1 версії 1.5 без приватного ключа.
Опис: проблему побічних каналів синхронізації усунено через поліпшення обчислень постійного часу в криптографічних функціях.
CVE-2024-23218: Clemens Lang
Запис додано 7 березня 2024 року
ImageIO
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: обробка зображення може призводити до виконання довільного коду.
Опис: проблему переповнення буфера вирішено завдяки поліпшенню обробки звернень до пам’яті.
CVE-2024-23286: Dohyun Lee (@l33d0hyun)
Запис додано 7 березня 2024 року
ImageIO
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: обробка зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2024-23257: Junsung Lee, що співпрацює із Zero Day Initiative компанії Trend Micro
Запис додано 7 березня 2024 року
Kernel
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: зловмисник із правами довільного зчитування пам’яті ядра та записування в неї може обійти засоби захисту пам’яті ядра. Компанії Apple відомо, що цією проблемою могли користуватися.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки вдосконаленню перевірки.
CVE-2024-23225
Kernel
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.
CVE-2024-23235
Запис додано 7 березня 2024 року
Kernel
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може спричиняти несподіване завершення роботи системи або записувати пам’ять ядра.
Опис: уразливість, пов’язану з пошкодженням пам’яті, вирішено завдяки поліпшенню блокування.
CVE-2024-23265: Xinru Chi з Pangu Lab
Запис додано 7 березня 2024 року
libxpc
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-23278: анонімний дослідник
Запис додано 7 березня 2024 року
MediaRemote
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню редагування конфіденційної інформації.
CVE-2023-28826: Meng Zhang (鲸落) з NorthSea
Запис додано 7 березня 2024 року
Metal
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може зчитувати дані з області пам’яті з обмеженим доступом.
Опис: проблему з перевіркою вирішено завдяки поліпшеній обробці вводу.
CVE-2024-23264: Meysam Firouzi (@R00tkitsmm), що співпрацює із Zero Day Initiative компанії Trend Micro
Запис додано 7 березня 2024 року
Notes
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено завдяки поліпшенню редагування приватних даних для записів журналу.
CVE-2024-23283
Запис додано 7 березня 2024 року
Safari
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-23259: Lyra Rebane (rebane2001)
Запис додано 7 березня 2024 року
Share Sheet
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено завдяки поліпшенню редагування приватних даних для записів журналу.
CVE-2024-23231: користувачі Kirin (@Pwnrin) і luckyu (@uuulucky)
Запис додано 7 березня 2024 року
Shortcuts
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: швидка команда може мати змогу використовувати конфіденційні дані з певними діями, не питаючи дозвіл у користувача.
Опис: проблему усунуто завдяки додатковим перевіркам дозволів.
CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)
CVE-2024-23203: анонімний дослідник
Запис додано 7 березня 2024 року
Siri
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: користувач, який має фізичний доступ до пристрою, може використовувати Siri, щоб отримувати дані з приватного календаря.
Опис: проблему із заблокованим екраном вирішено завдяки поліпшенню керування станами.
CVE-2024-23289: Lewis Hardy
Запис додано 7 березня 2024 року
UIKit
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему вирішено завдяки видаленню вразливого коду.
CVE-2024-23246: компанія Deutsche Telekom Security GmbH, спонсором якої є Федеральне управління з інформаційної безпеки Німеччини
Запис додано 7 березня 2024 року
WebKit
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: обробка зловмисного вебвмісту може завадити застосуванню політики безпеки вмісту.
Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber та Marco Squarcina
Запис додано 7 березня 2024 року
WebKit
Цільові продукти: iPhone 8, iPhone 8 Plus, iPhone X, iPad (5-го покоління), iPad Pro 9,7 дюйма та iPad Pro 12,9 дюйма (1-го покоління)
Вплив: обробка зловмисного вебвмісту може завадити застосуванню політики безпеки вмісту.
Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
Запис додано 7 березня 2024 року