iOS 17.5 включает 15 исправлений безопасности для пользователей iPhone

Michael Potuck | Понедельник, 13 мая, 2024, 11:59.

Michael Potuck | 13 мая 2024 г. — 10:51 PT

Вышло обновление iOS 17.5 для всех пользователей с несколькими новыми функциями для пользователей. Также обновление включает 15 важных исправлений безопасности. Вот полные сведения обо всех устраненных уязвимостях.

Apple поделилась подробностями об устранении уязвимостей в iOS 17.5 на своем сайте обновлений безопасности.

К счастью, ни одно из 15 исправлений ранее не было использовано.

Тем не менее, важно установить обновление и получить эти исправления как можно скорее. Некоторые из этих уязвимостей могли позволить злоумышленнику получить доступ к данным пользователя и выполнять произвольный код с привилегиями ядра.

iOS 17.5 доступна: вот все, что вам нужно знать

Какие исправления безопасности есть в iOS 17.5?

Вот некоторые приложения/системы iOS, для которых были выпущены исправления:

Find My
Kernel
Maps
Notes
RemoteViewServices
Screenshots
Shortcuts
Voice Control
WebKit

Также были выпущены обновления с исправлениями для App Store, Face ID, Safari Downloads и других.

Ознакомьтесь со всеми новыми функциями iOS 17.5 и полными примечаниями к выпуску обновлений безопасности ниже:

AppleAVD

Доступно для: iPhone XS и новее, iPad Pro 12,9 дюйма 2-го поколения и новее, iPad Pro 10,5 дюйма, iPad Pro 11 дюйма 1-го поколения и новее, iPad Air 3-го поколения и новее, iPad 6-го поколения и новее, а также iPad mini 5-го поколения и новее

Воздействие: Приложение может выполнять произвольный код с привилегиями ядра

Описание: Проблема была устранена благодаря улучшенной обработке памяти.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

Воздействие: Злоумышленник может получить доступ к данным пользователя

Описание: Проблема логики была устранена за счет улучшения проверок.

CVE-2024-27816: Mickey Jin (@patch1t)

AVEVideoEncoder

Воздействие: Приложение может раскрыть память ядра

Описание: Проблема была устранена благодаря улучшенной обработке памяти.

CVE-2024-27841: анонимный исследователь

Find My

Воздействие: Вредоносное приложение может определить текущее местоположение пользователя

Описание: Проблема конфиденциальности была устранена путем перемещения конфиденциальных данных в более безопасное место.

CVE-2024-27839: Александр Хайнрих, SEEMOO, TU Darmstadt (@Sn0wfreeze) и Шай Мишали (@freak4pc)

Kernel

Воздействие: Злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода

Описание: Проблема была устранена благодаря улучшенной обработке памяти.

CVE-2024-27818: pattern-f (@pattern_F_) из Ant Security Light-Year Lab

Libsystem

Воздействие: Приложение может получить доступ к защищенным пользовательским данным

Описание: Проблема с разрешениями была устранена путем удаления уязвимого кода и добавления дополнительных проверок.

CVE-2023-42893: анонимный исследователь

Maps

Воздействие: Приложение может считывать конфиденциальную информацию о местоположении

Описание: Проблема обработки путей была устранена путем улучшения проверки.

CVE-2024-27810: LFY@secsys из Университета Фудань

MarketplaceKit

Доступно для: iPhone XS и новее

Воздействие: Вредоносная веб-страница может распространять скрипт, который отслеживает пользователей на других веб-страницах

Описание: Проблема конфиденциальности была устранена за счет улучшения обработки идентификатора клиента для альтернативных магазинов приложений.

CVE-2024-27852: Талал Хадж Бакри и Томми Мыск из Mysk Inc. (@mysk_co)

Notes

Воздействие: Злоумышленник с физическим доступом к устройству iOS может получить доступ к заметкам с экрана блокировки

Описание: Эта проблема была устранена путем улучшения управления состоянием.

CVE-2024-27835: Andr.Ess

RemoteViewServices

Воздействие: Злоумышленник может получить доступ к данным пользователя

Описание: Проблема логики была устранена за счет улучшения проверок.

CVE-2024-27816: Mickey Jin (@patch1t)

Screenshots

Воздействие: Злоумышленник с физическим доступом может поделиться элементами с экрана блокировки

Описание: Проблема с разрешениями была устранена путем улучшения проверки.

CVE-2024-27803: анонимный исследователь

Shortcuts

Воздействие: Ярлык может вывести конфиденциальные пользовательские данные без согласия

Описание: Проблема обработки путей была устранена путем улучшения проверки.

CVE-2024-27821: Kirin (@Pwnrin), zbleet и Csaba Fitzl (@theevilbit) из Kandji

Sync Services

Воздействие: Приложение может обойти настройки конфиденциальности

Описание: Эта проблема была устранена за счет улучшения проверок.

CVE-2024-27847: Mickey Jin (@patch1t)

Voice Control

Воздействие: Злоумышленник может повысить привилегии

Описание: Проблема была устранена благодаря улучшенной проверке.

CVE-2024-27796: ajajfxhj

WebKit

Воздействие: Злоумышленник с возможностью произвольного чтения и записи может обойти аутентификацию указателя

Описание: Проблема была устранена благодаря улучшенной проверке.

WebKit Bugzilla: 272750
CVE-2024-27834: Манфред Пол (@_manfp), работающий с Zero Day Initiative Trend Micro

Дополнительное признание

App Store

Мы хотели бы поблагодарить анонимного исследователя за помощь.

CoreHAP

Мы хотели бы поблагодарить Адриана Кэйбла за помощь.

Face ID

Мы хотели бы поблагодарить Лукаса Монтейро, Даниэля Монтейро и Фелипе Монтейро за помощь.

HearingCore

Мы хотели бы поблагодарить анонимного исследователя за помощь.

Managed Configuration

Мы хотели бы поблагодарить 遥遥领先 (@晴天组织) за помощь.

Safari Downloads

Мы хотели бы поблагодарить Арсения Костромина (0x3c3e) за помощь.

Status Bar

Мы хотели бы поблагодарить Абхая Кайласию (@abhay_kailasia) из Lakshmi Narain College of Technology Bhopal за помощь.

Основное изображение предоставлено Apple