Проблеми системи безпеки, які усунено в оновленнях iOS 17.5 та iPadOS 17.5

У цьому документі описано проблеми системи безпеки, які усунено в оновленнях iOS 17.5 та iPadOS 17.5.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iOS 17.5 та iPadOS 17.5

Випущено 13 травня 2024 р.

AppleAVD

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Запис оновлено 15 травня 2024 р.

AppleMobileFileIntegrity

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник може отримувати доступ до даних користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може розкривати дані з пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-27841: анонімний дослідник

Core Data

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірки змінних середовища.

CVE-2024-27805: Kirin (@Pwnrin) і 小来来 (@Smi1eSEC)

Запис додано 10 червня 2024 р.

CoreMedia

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27817: pattern-f (@pattern_F_) з Ant Security Light-Year Lab

Запис додано 10 червня 2024 р.

CoreMedia

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-27831: Amir Bazine і Karsten König із CrowdStrike Counter Adversary Operations

Запис додано 10 червня 2024 р.

Disk Images

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27832: анонімний дослідник

Запис додано 10 червня 2024 р.

Find My

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисна програма може визначати поточне місцезнаходження користувача.

Опис: проблему з приватністю вирішено шляхом переміщення конфіденційних даних у безпечніше розташування.

CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) і Shai Mishali (@freak4pc)

Foundation

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27801: команда CertiK SkyFall

Запис додано 10 червня 2024 р.

ImageIO

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27836: Junsung Lee, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Запис додано 10 червня 2024 р.

IOSurface

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) із STAR Labs SG Pte. Ltd.

Запис додано 10 червня 2024 р.

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник може спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-27818: pattern-f (@pattern_F_) з Ant Security Light-Year Lab

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник, який уже дійшов до виконання коду в ядрі, може обходити засоби захисту пам’яті ядра.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-27840: анонімний дослідник

Запис додано 10 червня 2024 р.

Kernel

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може виконувати довільний код із привілеями ядра.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-27815: анонімний дослідник і Joseph Ravichandran (@0xjprx) з MIT CSAIL

Запис додано 10 червня 2024 р.

libiconv

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може підвищувати рівень привілеїв.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27811: Nick Wellnhofer

Запис додано 10 червня 2024 р.

Libsystem

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з дозволами вирішено завдяки вилученню вразливого коду й додаванню додаткових перевірок.

CVE-2023-42893: анонімний дослідник

Mail

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із фізичним доступом може спричинити витік облікових даних Пошти.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2024-23251: Gil Pedersen

Запис додано 10 червня 2024 р.

Mail

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідливий електронний лист може ініціювати виклики FaceTime без дозволу користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Запис додано 10 червня 2024 р.

Maps

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних про геопозицію.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2024-27810: LFY@secsys з Університету Фудань

MarketplaceKit

Цільові продукти: iPhone XS і новіші моделі

Вплив: зловмисна вебсторінка може розповсюджувати скрипт, який відстежує користувачів на інших вебсторінках.

Опис: проблему з приватністю вирішено завдяки вдосконаленню обробки ідентифікатора клієнта для альтернативних магазинів програм.

CVE-2024-27852: Talal Haj Bakry й Tommy Mysk із Mysk Inc. (@mysk_co)

Messages

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого повідомлення може призводити до відмови в обслуговуванні.

Опис: проблему вирішено шляхом видалення вразливого коду.

CVE-2024-27800: Daniel Zajork і Joshua Zajork

Запис додано 10 червня 2024 р.

Metal

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Запис додано 10 червня 2024 р.

Metal

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми чи виконання довільного коду.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2024-27857: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Запис додано 10 червня 2024 р.

Notes

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із фізичним доступом до пристрою iOS може отримати доступ до нотаток із замкненого екрана.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

CVE-2024-27835: Andr.Ess

Notes

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може мати доступ до вкладень у Нотатках.

Опис: проблему з приватністю усунено завдяки вдосконаленню обробки тимчасових файлів.

CVE-2024-27845: Adam Berry

Запис додано 10 червня 2024 р.

RemoteViewServices

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник може отримувати доступ до даних користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-27816: Mickey Jin (@patch1t)

Screenshots

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із фізичним доступом до пристрою може отримати доступ до інформації із замкненого екрана.

Опис: проблему з дозволами вирішено завдяки вдосконаленню перевірки.

CVE-2024-27803: анонімний дослідник

Shortcuts

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: швидка команда могла видавати конфіденційні дані користувача без його згоди.

Опис: проблему з обробкою шляху вирішено завдяки поліпшенню перевірки.

CVE-2024-27821: Kirin (@Pwnrin), zbleet і Csaba Fitzl (@theevilbit) із Kandji

Shortcuts

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: швидка команда може мати змогу використовувати конфіденційні дані з певними діями, не питаючи дозвіл у користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27855: анонімний дослідник

Запис додано 10 червня 2024 р.

Siri

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із фізичним доступом до пристрою може отримати доступ до контактів із замкненого екрана.

Опис: проблему усунено за допомогою обмеження варіантів, пропонованих на замкненому пристрої.

CVE-2024-27819: Srijan Poudel

Запис додано 10 червня 2024 р.

Spotlight

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки поліпшенню очищення середовища.

CVE-2024-27806

Запис додано 10 червня 2024 р.

StorageKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірки дозволів.

CVE-2024-27848: Csaba Fitzl (@theevilbit) із Kandji

Запис додано 10 червня 2024 р.

Symptom Framework

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може обходити реєстрацію даних для Звіту про приватність програм.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27807: Romy R.

Запис додано 10 червня 2024 р.

Sync Services

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: програма може обходити параметри приватності.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок

CVE-2024-27847: Mickey Jin (@patch1t)

Voice Control

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник може підвищувати рівень привілеїв.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-27796: ajajfxhj

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: зловмисник із довільними можливостями зчитування й запису може обійти автентифікацію вказівника

Опис: проблему вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: проблему вирішено завдяки додаванню додаткової логіки.

WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos із Mozilla

Запис додано 10 червня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard із CISPA Helmholtz Center for Information Security

Запис додано 10 червня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: проблему вирішено завдяки вдосконаленням алгоритму додавання випадкових даних.

WebKit Bugzilla: 270767
CVE-2024-27850: анонімний дослідник

Запис додано 10 червня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

WebKit Bugzilla: 271491
CVE-2024-27833: Manfred Paul (@_manfp), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Запис додано 10 червня 2024 р.

WebKit

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) з 360 Vulnerability Research Institute

Запис додано 10 червня 2024 р.

WebKit Canvas

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: шкідлива вебсторінка може ідентифікувати користувача.

Опис: цю проблему вирішено шляхом вдосконалення керування станами.

WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) з Crawless і користувач @abrahamjuliot

Запис додано 10 червня 2024 р.

WebKit Web Inspector

Цільові продукти: iPhone XS і новіші моделі, iPad Pro 13 дюймів, iPad Pro 12,9 дюйма 2-го покоління й новіші моделі, iPad Pro 10,5 дюйма, iPad Pro 11 дюймів 1-го покоління й новіші моделі, iPad Air 3-го покоління й новіші моделі, iPad 6-го покоління й новіші моделі, а також iPad mini 5-го покоління й новіші моделі

Вплив: обробка вебконтенту може призводити до виконання довільного коду.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson з underpassapp.com

Запис додано 10 червня 2024 р.

 

Додаткова подяка

App Store

Дякуємо за допомогу анонімному досліднику.

AppleMobileFileIntegrity

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

Запис додано 10 червня 2024 р.

CoreHAP

Дякуємо за допомогу Adrian Cable.

Disk Images

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

Запис додано 10 червня 2024 р.

Face ID

Дякуємо за допомогу Lucas Monteiro, Daniel Monteiro та Felipe Monteiro.

HearingCore

Дякуємо за допомогу анонімному досліднику.

ImageIO

Дякуємо за допомогу анонімному досліднику.

Запис додано 10 червня 2024 р.

Managed Configuration

Дякуємо за допомогу 遥遥领先 (@晴天组织).

ReplayKit

Дякуємо за допомогу Thomas Zhao.

Запис додано 10 червня 2024 р.

Safari Downloads

Дякуємо за допомогу Arsenii Kostromin (0x3c3e).

Siri

Дякуємо за допомогу користувачу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі, Індія.

Запис додано 10 червня 2024 р.

Status Bar

Дякуємо за допомогу користувачу Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі.

Transparency

Дякуємо за допомогу користувачу Mickey Jin (@patch1t).

Запис додано 10 червня 2024 р.

 

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: