Om säkerhetsinnehållet i iOS 17.5 och iPadOS 17.5

I det här dokumentet beskrivs säkerhetsinnehållet i iOS 17.5 och iPadOS 17.5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan Apples produktsäkerhet.

iOS 17.5 och iPadOS 17.5

Släpptes den 13 maj 2024

Apple Neural Engine

Tillgängligt för enheter med Apple Neural Engine: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 3:e generationen och senare, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 8:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En lokal angripare kan orsaka en oväntad systemavstängning

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-27826: Minghao Lin och Ye Zhang (@VAR10CK) på Baidu Security

Lades till 29 juli 2024

AppleAVD

Tillgänglig för: iPhone XS och senare, iPad Pro 13 tum, iPad Pro 12,9 tum 2:a generationen och senare, iPad Pro 10,5 tum, iPad Pro 11 tum 1:a generationen och senare, iPad Air 3:e generationen och senare, iPad 6:e generationen och senare och iPad mini 5:e generationen och senare

Effekt: En app kanske kan orsaka ett oväntat systemavslut

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Uppdaterades 15 maj 2024

AppleMobileFileIntegrity

Effekt: En angripare kan kanske komma åt användardata

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

Effekt: En app kan avslöja kernelminnet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-27841: En anonym forskare

Core Data

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett problem åtgärdades med hjälp av förbättrad validering av miljövariabler.

CVE-2024-27805: Kirin (@Pwnrin) och 小来来 (@Smi1eSEC)

Lades till den 10 juni 2024

CoreMedia

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27817: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab

Lades till den 10 juni 2024

CoreMedia

Effekt: Bearbetning av en fil kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-27831: Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations

Lades till den 10 juni 2024

Disk Images

Effekt: En app kan öka behörigheter

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27832: en anonym forskare

Lades till den 10 juni 2024

Find My

Effekt: Ett skadligt program kan fastställa en användares aktuella plats

Beskrivning: Ett integritetsproblem åtgärdades genom flytt av känsliga data till en säkrare plats.

CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) och Shai Mishali (@freak4pc)

Foundation

Effekt: En app kan öka behörigheter

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27801: CertiK SkyFall Team

Lades till den 10 juni 2024

ImageIO

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27836: Junsung Lee i samarbete med Trend Micro Zero Day Initiative

Lades till den 10 juni 2024

IOSurface

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd.

Lades till den 10 juni 2024

Kernel

Effekt: En angripare kanske kan orsaka oväntade appavslut eller körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-27818: Pattern-f (@pattern_F_) på Ant Security Light-Year Lab

Kernel

Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kernelns minnesskydd

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-27840: en anonym forskare

Lades till den 10 juni 2024

Kernel

Effekt: En app kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-27815: en anonym forskare och Joseph Ravichandran (@0xjprx) på MIT CSAIL

Lades till den 10 juni 2024

Kernel

Effekt: En angripare i behörig nätverksposition kanske kan förfalska nätverkspaket

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2024-27823: Prof. Benny Pinkas på Bar-Ilan University, Prof. Amit Klein på Hebrew University och EP

Lades till 29 juli 2024

libiconv

Effekt: En app kan öka behörigheter

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27811: Nick Wellnhofer

Lades till den 10 juni 2024

Libsystem

Effekt: En app kanske kan komma åt skyddade användardata

Beskrivning: Ett behörighetsproblem åtgärdades genom att ta bort känslig kod och utöka kontroller.

CVE-2023-42893: en anonym forskare

Mail

Effekt: En angripare med fysisk åtkomst kan läcka Mail-inloggningsuppgifter

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2024-23251: Gil Pedersen

Lades till den 10 juni 2024

Mail

Effekt: En skadlig e-postadress kan starta FaceTime-samtal utan användarens godkännande

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Lades till den 10 juni 2024

Maps

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2024-27810: LFY@secsys på Fudan University

MarketplaceKit

Tillgängligt för: iPhone XS och senare

Effekt: En skadlig webbsida kan kanske distribuera ett script som spårar användare på andra webbsidor

Beskrivning: Ett integritetsproblem hanterades med förbättrad klient_ID-hantering för alternativa appmarknadsplatser.

CVE-2024-27852: Talal Haj Bakry och Tommy Mysk på Mysk Inc. (@mysk_co)

Messages

Effekt: Bearbetning av ett skadligt meddelande kan leda till att åtkomst till tjänsten nekas

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2024-27800: Daniel Zajork och Joshua Zajork

Lades till den 10 juni 2024

Metal

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till oväntad appavslutning eller körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-27802: Meysam Firouzi (@R00tkitsmm) i samarbete med Trend Micro Zero Day Initiative

Lades till den 10 juni 2024

Metal

Effekt: En fjärrangripare kunde orsaka ett oväntat appavslut eller körning av opålitlig kod

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-27857: Michael DePlante (@izobashi) på Trend Micro Zero Day Initiative

Lades till den 10 juni 2024

Notes

Effekt: En angripare med fysisk åtkomst till en iOS-enhet kanske kan komma åt anteckningar från låsskärmen

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-27835: Andr.Ess

Notes

Effekt: En app kanske kan komma åt bilagor i Anteckningar

Beskrivning: Ett integritetsproblem åtgärdades med förbättrad hantering av tillfälliga filer.

CVE-2024-27845: Adam Berry

Lades till den 10 juni 2024

RemoteViewServices

Effekt: En angripare kan kanske komma åt användardata

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-27816: Mickey Jin (@patch1t)

Screenshots

Effekt: En angripare med fysisk åtkomst kanske kan dela objekt från låsskärmen

Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering.

CVE-2024-27803: en anonym forskare

Shortcuts

Effekt: Ett kortkommando kan dela ut känsliga användardata utan samtycke

Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.

CVE-2024-27821: Kirin (@Pwnrin), zbleet och Csaba Fitzl (@theevilbit) på Kandji

Shortcuts

Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27855: en anonym forskare

Lades till den 10 juni 2024

Siri

Effekt: En angripare med fysisk åtkomst kanske kan komma åt kontakter från låsskärmen

Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.

CVE-2024-27819: Srijan Poudel

Lades till den 10 juni 2024

Spotlight

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom förbättrad sanering av miljön.

CVE-2024-27806

Lades till den 10 juni 2024

StorageKit

Effekt: En skadlig app kan kanske få rotbehörighet

Beskrivning: Problemet åtgärdades med förbättrade behörighetskontroller.

CVE-2024-27848: Csaba Fitzl (@theevilbit) på Kandji

Lades till den 10 juni 2024

Symptom Framework

Effekt: En app kan kringgå registrering i Rapport om appintegritet

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27807: Romy R.

Lades till den 10 juni 2024

Sync Services

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades med förbättrade kontroller

CVE-2024-27847: Mickey Jin (@patch1t)

Transparency

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet hanterades med en ny behörighet.

CVE-2024-27884: Mickey Jin (@patch1t)

Lades till 29 juli 2024

Voice Control

Effekt: En angripare kanske kan öka behörigheter

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-27796: ajajfxhj

WebKit

Effekt: En angripare med opålitlig läs- och skrivkapacitet kanske kan kringgå pekarautentisering

Beskrivning: Problemet hanterades med förbättrade kontroller.

WebKit Bugzilla: 272750

CVE-2024-27834: Manfred Paul (@_manfp) i samarbete med Trend Micros Zero Day Initiative

WebKit

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Problemet åtgärdades genom utökad logik.

WebKit Bugzilla: 262337

CVE-2024-27838: Emilio Cobos på Mozilla

Lades till den 10 juni 2024

WebKit

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 268221

CVE-2024-27808: Lukas Bernhard på CISPA Helmholtz Center for Information Security

Lades till den 10 juni 2024

WebKit

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Problemet åtgärdades med förbättringar av algoritmen för brusinjektion.

WebKit Bugzilla: 270767

CVE-2024-27850: en anonym forskare

Lades till den 10 juni 2024

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

WebKit Bugzilla: 271491

CVE-2024-27833: Manfred Paul (@_manfp) i samarbete med Trend Micro Zero Day Initiative

Lades till den 10 juni 2024

WebKit

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

WebKit Bugzilla: 272106

CVE-2024-27851: Nan Wang (@eternalsakura13) på 360 Vulnerability Research Institute

Lades till den 10 juni 2024

WebKit Canvas

Effekt: En skadlig webbsida kan ta fingeravtryck på användaren

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

WebKit Bugzilla: 271159

CVE-2024-27830: Joe Rutkowski (@Joe12387) på Crawless och @abrahamjuliot

Lades till den 10 juni 2024

WebKit Web Inspector

Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Problemet hanterades med förbättrad minneshantering.

WebKit Bugzilla: 270139

CVE-2024-27820: Jeff Johnson på underpassapp.com

Lades till den 10 juni 2024

Ytterligare tack

App Store

Vi vill tacka en anonym forskare för hjälpen.

AppleMobileFileIntegrity

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Lades till den 10 juni 2024

CoreHAP

Vi vill tacka Adrian Cable för hjälpen.

Disk Images

Vi vill tacka Mickey Jin (@patch1t) för hjälpen.

Lades till den 10 juni 2024

Face ID

Vi vill tacka Lucas Monteiro, Daniel Monteiro och Felipe Monteiro för hjälpen.

HearingCore

Vi vill tacka en anonym forskare för hjälpen.

ImageIO

Vi vill tacka en anonym forskare för hjälpen.

Lades till den 10 juni 2024

Managed Configuration

Vi vill tacka 遥遥领先 (@晴天组织) för hjälpen.

ReplayKit

Vi vill tacka Thomas Zhao för hjälpen.

Lades till den 10 juni 2024

Safari Downloads

Vi vill tacka Arsenii Kostromin (0x3c3e) för hjälpen.

Siri

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal India för hjälpen.

Lades till den 10 juni 2024

Status Bar

Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College of Technology Bhopal för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 14 augusti 2024