Om sikkerhedsindholdet i iOS 17.6 og iPadOS 17.6
I dette dokument beskrives sikkerhedsindholdet i iOS 17.6 og iPadOS 17.6.
Om Apple-sikkerhedsopdateringer
Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apple-sikkerhedsudgivelser.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
iOS 17.6 og iPadOS 17.6
Udgivet 29. juli 2024
AppleMobileFileIntegrity
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2024-40799: D4m0n
CoreMedia
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et skadeligt videoarkiv kan føre til pludselig applukning
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2024-27873: Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations
dyld
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse
Beskrivelse: En konkurrencetilstand er løst via yderligere validering.
CVE-2024-40815: w0wbox
Family Sharing
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Problemet er løst via forbedret databeskyttelse.
CVE-2024-40795: Csaba Fitzl (@theevilbit) fra Kandji
ImageIO
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et billede kan føre til DoS-angreb
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.
CVE-2024-40806: Yisumi
ImageIO
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.
CVE-2024-40777: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations
ImageIO
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2024-40784: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, Gandalf4a
Kernel
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En lokal hacker kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet
Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.
CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University
libxpc
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.
CVE-2024-40805
Phone
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata
Beskrivelse: Et problem med låseskærmen er løst via forbedret statusadministration.
CVE-2024-40813: Jacob Braun
Photos Storage
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Billeder i albummet Skjult i Fotos kan muligvis ses uden godkendelse
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2024-40778: Mateen Alinaghi
Sandbox
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2024-40824: Wojciech Regula fra SecuRing (wojciechregula.blog) og Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong
Sandbox
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis få adgang til beskyttede brugerdata
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2024-27871: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) fra Kandji og Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong
Shortcuts
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren
Beskrivelse: Et logikproblem er løst via forbedret kontrol.
CVE-2024-40835: en anonym programmør
CVE-2024-40836: en anonym programmør
Shortcuts
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En genvej kan muligvis omgå krav til internettilladelser
Beskrivelse: Et logikproblem er løst via forbedret kontrol.
CVE-2024-40809: en anonym programmør
CVE-2024-40812: en anonym programmør
Shortcuts
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En genvej kan muligvis omgå krav til internettilladelser
Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.
CVE-2024-40787: en anonym programmør
Shortcuts
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En app kan muligvis få adgang til følsomme brugerdata
Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.
CVE-2024-40793: Kirin (@Pwnrin)
Siri
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker kan muligvis se følsomme brugeroplysninger
Beskrivelse: Problemet er løst via forbedret statusadministration.
CVE-2024-40786: Bistrit Dahal
Siri
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata
Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.
CVE-2024-40818: Bistrit Dahal og Srijan Poudel
Siri
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker med fysisk adgang til en enhed kan muligvis få adgang til kontakter fra låseskærmen
Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.
CVE-2024-40822: Srijan Poudel
VoiceOver
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: En hacker kan muligvis se begrænset indhold på låseskærmen
Beskrivelse: Problemet er løst via forbedrede kontroller.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin fra Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin fra Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin fra Ant Group Light-Year Security Lab
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder
Beskrivelse: Problemet er løst via forbedret kontrol.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.
CVE-2024-40789: Seunghyun Lee (@0x10n) fra KAIST Hacking Lab, der arbejder med Trend Micro Zero Day Initiative
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer
Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.
WebKit Bugzilla: 274165
CVE-2024-4558
WebKit
Fås til: iPhone XS og nyere modeller, iPad Pro 13", iPad Pro 12,9" (2. generation og nyere modeller), iPad Pro 10,5", iPad Pro 11" (1. generation og nyere modeller), iPad Air (3. generation og nyere modeller), iPad (6. generation og nyere modeller) og iPad mini (5. generation og nyere modeller)
Effekt: Private browsing-faner kan tilgås uden godkendelse
Beskrivelse: Problemet er løst via forbedret statusadministration.
WebKit Bugzilla: 275272
CVE-2024-40794: Matthew Butler
Yderligere anerkendelser
AirDrop
Vi vil gerne takke Linwz of DEVCORE for hjælpen.
Screen Time
Vi vil gerne takke Andreas Jaegersberger og Ro Achterberg for hjælpen.
Post tilføjet 19. august 2024
Settings
Vi vil gerne takke Joshua Thomas for hjælpen.
Shortcuts
Vi vil gerne takke en anonym programmør for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.