Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iOS 17.6 και του iPadOS 17.6

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iOS 17.6 και του iPadOS 17.6.

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

iOS 17.6 και iPadOS 17.6

Κυκλοφόρησε στις 29 Ιουλίου 2024

AppleMobileFileIntegrity

Διαθέσιμο για: iPhone XS και νεότερα μοντέλα, iPad Pro 13 ιντσών, iPad Pro 12,9 ιντσών 2ης γενιάς και νεότερα μοντέλα, iPad Pro 10,5 ιντσών, iPad Pro 11 ιντσών 1ης γενιάς και νεότερα μοντέλα, iPad Air 3ης γενιάς και νεότερα μοντέλα, iPad 6ης γενιάς και νεότερα μοντέλα και iPad mini 5ης γενιάς και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Ένα πρόβλημα υποβάθμισης αντιμετωπίστηκε με πρόσθετους περιορισμούς υπογραφής κώδικα.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2024-40799: D4m0n

CoreMedia

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου βίντεο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2024-27873: Amir Bazine και Karsten König της CrowdStrike Counter Adversary Operations

dyld

Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2024-40815: w0wbox

Family Sharing

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη προστασία δεδομένων.

CVE-2024-40795: Csaba Fitzl (@theevilbit) της Kandji

ImageIO

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2024-40806: Yisumi

ImageIO

Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2024-40777: Junsung Lee σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro, Amir Bazine και Karsten König της CrowdStrike Counter Adversary Operations

ImageIO

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2024-40784: Junsung Lee σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Gandalf4a

Kernel

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα ζήτημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-40788: Minghao Lin και Jiaxun Zhu από το Zhejiang University

libxpc

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-40805

Phone

Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση ενδέχεται να μπορέσει να χρησιμοποιήσει το Siri για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα σχετικό με την οθόνη κλειδώματος αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2024-40813: Jacob Braun

Photos Storage

Αποτέλεσμα: Ενδέχεται να είναι δυνατή η προβολή φωτογραφιών που περιλαμβάνονταν στο άλμπουμ κρυμμένων φωτογραφιών χωρίς έλεγχο ταυτότητας

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2024-40778: Mateen Alinaghi

Sandbox

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-40824: Wojciech Regula της SecuRing (wojciechregula.blog) και Zhongquan Li (@Guluisacat) από το Dawn Security Lab της JingDong

Sandbox

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε προστατευμένα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2024-27871: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) της Kandji και Zhongquan Li (@Guluisacat) του Dawn Security Lab της JingDong

Shortcuts

Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς προτροπή προς τον χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-40835: ένας ανώνυμος ερευνητής

CVE-2024-40836: ένας ανώνυμος ερευνητής

Shortcuts

Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να παρακάμψει τις απαιτήσεις άδειας του διαδικτύου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-40809: ένας ανώνυμος ερευνητής

CVE-2024-40812: ένας ανώνυμος ερευνητής

Shortcuts

Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να παρακάμψει τις απαιτήσεις άδειας του διαδικτύου

Περιγραφή: Αυτό το ζήτημα αντιμετωπίστηκε με την προσθήκη μιας πρόσθετης προτροπής για συναίνεση χρήστη.

CVE-2024-40787: ένας ανώνυμος ερευνητής

Shortcuts

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προβάλει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-40786: Bistrit Dahal

Siri

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε μια κλειδωμένη συσκευή.

CVE-2024-40818: Bistrit Dahal και Srijan Poudel

Siri

Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση σε μια συσκευή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επαφές από την οθόνη κλειδώματος

CVE-2024-40822: Srijan Poudel

VoiceOver

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προβάλει περιορισμένο περιεχόμενο από την οθόνη κλειδώματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College of Technology Bhopal India

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

WebKit Bugzilla: 273176

CVE-2024-40776: Huang Xilin του Ant Group Light-Year Security Lab

WebKit Bugzilla: 268770

CVE-2024-40782: Maksymilian Motyl

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

WebKit Bugzilla: 275431

CVE-2024-40779: Huang Xilin του Ant Group Light-Year Security Lab

WebKit Bugzilla: 275273

CVE-2024-40780: Huang Xilin του Ant Group Light-Year Security Lab

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2024-40789: Seunghyun Lee (@0x10n) του KAIST Hacking Lab σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

WebKit

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

WebKit Bugzilla: 274165

CVE-2024-4558

WebKit

Αποτέλεσμα: Ενδέχεται να είναι δυνατή η πρόσβαση σε καρτέλες Ιδιωτικής περιήγησης χωρίς έλεγχο ταυτότητας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 275272

CVE-2024-40794: Matthew Butler

Επιπλέον αναγνώριση

AirDrop

Θα θέλαμε να ευχαριστήσουμε τον Linwz της DEVCORE για τη βοήθειά του.

Settings

Θα θέλαμε να ευχαριστήσουμε τον Joshua Thomas για τη βοήθειά του.

Shortcuts

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: 13 Αυγούστου 2024